Nasazení Microsoft Defender for Endpoint na Linux pomocí instalačního skriptu

  • Platí pro: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Úvod

Defender for Endpoint můžete nasadit na Linux pomocí různých nástrojů a metod. Tento článek popisuje, jak automatizovat nasazení Defenderu for Endpoint na Linux pomocí instalačního skriptu. Tento skript identifikuje distribuci a verzi, vybere správné úložiště, nastaví zařízení tak, aby načítá nejnovější verzi agenta, a onboarduje zařízení do Defenderu for Endpoint pomocí onboardingového balíčku. Tato metoda se důrazně doporučuje pro zjednodušení procesu nasazení.

Pokud chcete použít jinou metodu, přejděte do části Související obsah.

Důležité

Pokud chcete souběžně spouštět několik řešení zabezpečení, přečtěte si téma Důležité informace o výkonu, konfiguraci a podpoře.

Možná jste už nakonfigurovali vzájemné vyloučení zabezpečení pro zařízení nasazená k Microsoft Defender for Endpoint. Pokud stále potřebujete nastavit vzájemná vyloučení, abyste se vyhnuli konfliktům, přečtěte si téma Přidání Microsoft Defender for Endpoint do seznamu vyloučení pro vaše stávající řešení.

Požadavky a požadavky na systém

Než začnete, přečtěte si téma Požadavky pro Defender for Endpoint na Linux, kde najdete popis požadavků a požadavků na systém.

Tip

Před spuštěním instalačního skriptu pro nasazení Defenderu na Linux serveru doporučujeme spustit skript s --pre-req možností zkontrolovat minimální požadavky na systém (paměť, procesor, místo na disku, podporovaný operační systém) před nasazením.

Proces nasazení

  1. Stáhněte si balíček pro onboarding z portálu Microsoft Defender následujícím postupem:

    1. Na portálu Microsoft Defender rozbalte část Systém a vyberte Nastavení>Koncové body>Onboardingsprávy> zařízení.

    2. V první rozevírací nabídce vyberte jako operační systém Linux Server.

    3. V druhé rozevírací nabídce vyberte jako metodu nasazení Místní skript .

    4. Vyberte Stáhnout onboardingový balíček. Uložte soubor jako WindowsDefenderATPOnboardingPackage.zip.

      Snímek obrazovky znázorňující možnosti pro stažení onboardingového balíčku

    5. Z příkazového řádku extrahujte obsah archivu:

      unzip WindowsDefenderATPOnboardingPackage.zip

      Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

      Upozornění

      Opětovné zabalení instalačního balíčku Defenderu for Endpoint není podporovaným scénářem. To může negativně ovlivnit integritu produktu a vést k nepříznivým výsledkům, mimo jiné včetně aktivace upozornění na manipulaci a neúspěšných aktualizací.

      Důležité

      Pokud tento krok vynecháte, zobrazí se u každého spuštěného příkazu zpráva upozornění, že produkt není licencován. Příkaz mdatp health také vrátí hodnotu false.

  2. Stáhněte si skript Bash instalačního programu , který je k dispozici v našem veřejném úložišti GitHub.

  3. Udělte instalačnímu skriptu oprávnění ke spustitelnému souboru:

    chmod +x mde_installer.sh

  4. Spusťte instalační skript a jako parametr zadejte onboardingový balíček pro instalaci agenta a onboarding zařízení na portál Defender.

    sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req

    Tento příkaz nasadí nejnovější verzi agenta do produkčního kanálu, zkontroluje minimální požadavky na systém (paměť, procesor, místo na disku, podporovaný operační systém) a připojí zařízení na portál Defender.

    Kromě toho můžete na základě vašich požadavků předat více parametrů a upravit tak instalaci. V nápovědě najdete všechny dostupné možnosti:

     ❯ ./mde_installer.sh --help
mde_installer.sh v0.7.0
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel              specify the channel (insiders-fast / insiders-slow / prod) from which to install. Default: prod
-i|--install              install the product
-r|--remove               uninstall the product
-u|--upgrade              upgrade the existing product to a newer version if available
-l|--downgrade            downgrade the existing product to an older version if available
-o|--onboard <script>     onboard MDE with the specified onboarding script
-f|--offboard <script>    offboard MDE with the specified offboarding script
-p|--passive-mode         set real-time protection to passive mode
-a|--rtp-mode             set real-time protection to active mode. Passive-mode and rtp-mode are mutually exclusive
-t|--tag                  set a tag by declaring <name> and <value>, e.g.: -t GROUP Coders
-q|--pre-req              check minimum system requirements for MDE (memory, CPU, disk space, supported OS) without installing
-x|--skip_conflict        skip conflicting application verification
-w|--clean                remove MDE repository from the package manager for the specified channel
-y|--yes                  assume yes for all mid-process prompts (default, deprecated)
-n|--no                   disable the default assume-yes behavior for prompts
-s|--verbose              enable verbose output
-v|--version              print the script version
-d|--debug                enable debug mode
--log-path <PATH>         also log output to PATH
--http-proxy <URL>        set http proxy
--https-proxy <URL>       set https proxy
--ftp-proxy <URL>         set ftp proxy
--mdatp <version>         install a specific version of MDE; uses the latest if not provided
--use-local-repo          skip MDE repository setup and use the locally configured repository
-b|--install-path <PATH>  specify the installation and configuration path for MDE. Default: /
-h|--help                 display help
Scénář Příkaz
Instalace do umístění vlastní cesty sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req --install-path /custom/path/location
Instalace konkrétní verze agenta sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --pre-req –-mdatp 101.24082.0004
Upgrade na nejnovější verzi agenta sudo ./mde_installer.sh --upgrade
Upgrade na konkrétní verzi agenta sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
Downgrade na konkrétní verzi agenta sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
Odinstalace agenta sudo ./mde_installer.sh --remove
Spouštět pouze předběžné kontroly (bez instalace) sudo ./mde_installer.sh --pre-req

Podrobnosti o instalaci do vlastní cesty najdete v tématu Instalace Defenderu for Endpoint na Linux do vlastní cesty.

Poznámka

  • Upgrade operačního systému na novou hlavní verzi po instalaci produktu vyžaduje přeinstalaci produktu. Na Linux je potřeba odinstalovat stávající defender for Endpoint, upgradovat operační systém a pak překonfigurovat Defender for Endpoint na Linux.
  • Instalační cestu nejde po instalaci Defenderu for Endpoint změnit. Pokud chcete použít jinou cestu, odinstalujte a znovu nainstalujte produkt v novém umístění.

Ověření stavu nasazení

  1. Na portálu Microsoft Defender otevřete inventář zařízení. Zobrazení zařízení na portálu může trvat 5 až 20 minut.

  2. Spusťte test detekce antivirového softwaru, abyste ověřili, že je zařízení správně nasazené a hlásí se službě. Na nově nasazeném zařízení proveďte následující kroky:

    1. Ujistěte se, že je povolená ochrana v reálném čase (označená výsledkem true spuštění následujícího příkazu):

      mdatp health --field real_time_protection_enabled

      Pokud není povolená, spusťte následující příkaz:

      mdatp config real-time-protection --value enabled

    2. Otevřete okno terminálu a spuštěním následujícího příkazu spusťte test detekce:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Další testy detekce u souborů ZIP můžete spustit pomocí některého z následujících příkazů:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Soubory by měl defender for Endpoint umístit do karantény na Linux. Pomocí následujícího příkazu vypíšete seznam všech zjištěných hrozeb:

      mdatp threat list

  3. Spusťte test detekce EDR a simulujte detekci, abyste ověřili, že je zařízení správně nasazené a že se hlásí službě. Na nově nasazeném zařízení proveďte následující kroky:

    1. Stáhněte a extrahujte soubor skriptu na nasazený Linux server.

    2. Udělte skriptu oprávnění ke spustitelnému souboru:

      chmod +x mde_linux_edr_diy.sh

    3. Spusťte následující příkaz:

      ./mde_linux_edr_diy.sh

    4. Po několika minutách by měla být v Microsoft Defender XDR vyvolána detekce.

    5. Zkontrolujte podrobnosti o upozornění, časovou osu počítače a proveďte typické kroky šetření.

Microsoft Defender for Endpoint závislosti externích balíčků balíčků

Pokud se instalace Microsoft Defender for Endpoint nezdaří kvůli chybám chybějících závislostí, můžete požadované závislosti stáhnout ručně.

Pro balíček existují následující závislosti externích mdatp balíčků:

  • Balíček mdatp RPM vyžaduje : glibc >= 2.17
  • Pro debian vyžaduje mdatp balíček libc6 >= 2.23
  • Pro Mariner balíček mdatp vyžaduje attr,diffutils , libacl, , libattr, , selinux-policylibselinux-utilspolicycoreutils

Poznámka

Od verze 101.24082.0004už Defender for Endpoint na Linux nepodporuje Auditd poskytovatele událostí. Zcela přecházíme na efektivnější technologii eBPF. Pokud eBPF se na vašich počítačích nepodporuje nebo pokud existují specifické požadavky na Auditdzachování na a vaše počítače používají Defender for Endpoint ve verzi 101.24072.0001 Linux nebo starší, existují další závislosti na auditovaném balíčku pro mdatp. Pro verzi starší než 101.25032.0000:

  • Požadavky balíčku RPM: mde-netfilter, pcre
  • Požadavky balíčku DEBIAN: mde-netfilter, libpcre3
  • Balíček mde-netfilter má také následující závislosti balíčků: - Pro DEBIAN balíček mde-netfilter vyžaduje libnetfilter-queue1 a libglib2.0-0 - Pro RPM balíček mde-netfilter vyžaduje libmnl, libnfnetlinklibnetfilter_queue, a glib2 Počínaje verzí 101.25042.0003už se jako externí závislost nevyžaduje uuid-runtime.

Řešení potíží s instalací

Pokud narazíte na jakékoli problémy s instalací, postupujte při řešení potíží sami takto:

  1. Informace o tom, jak najít protokol, který se automaticky vygeneruje, když dojde k chybě instalace, najdete v tématu Problémy s instalací protokolu.

  2. Informace o běžných problémech s instalací najdete v tématu Problémy s instalací.

  3. Pokud je stav zařízení , přečtěte si falsetéma Problémy se stavem agenta Defenderu for Endpoint.

  4. Informace o problémech s výkonem produktu najdete v tématu Řešení potíží s výkonem.

  5. Informace o problémech s proxy serverem a připojením najdete v tématu Řešení potíží s připojením ke cloudu.

Pokud chcete získat podporu od Microsoftu, otevřete lístek podpory a zadejte soubory protokolu vytvořené pomocí analyzátoru klienta.

Jak přepínat mezi kanály

Pokud například chcete změnit kanál z Insiders-Fast na produkční, postupujte takto:

  1. Insiders-Fast channel Odinstalujte verzi Defenderu for Endpoint na Linux.

    sudo yum remove mdatp

  2. Zakažte Defender for Endpoint v úložišti Linux Insiders-Fast.

    sudo yum repolist

    Poznámka

    Ve výstupu by se měl zobrazit packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Znovu nasaďte Microsoft Defender for Endpoint na Linux pomocí produkčního kanálu.

Defender for Endpoint na Linux je možné nasadit z jednoho z následujících kanálů (označených jako [kanál]):

  • insiders-fast
  • insiders-slow
  • prod

Každý z těchto kanálů odpovídá úložišti softwaru Linux. Pokyny v tomto článku popisují konfiguraci zařízení tak, aby používalo jedno z těchto úložišť.

Volba kanálu určuje typ a frekvenci aktualizací nabízených vašemu zařízení. Zařízení v rychlém programu insider jsou prvními, kteří obdrží aktualizace a nové funkce, a později je následují účastníci programu Insider-slow a nakonec prod.

Pokud chcete získat náhled nových funkcí a poskytnout včasnou zpětnou vazbu, doporučujeme nakonfigurovat některá zařízení ve vašem podniku tak, aby používala buď nebo insiders-fastinsiders-slow.

Upozornění

Přepnutí kanálu po počáteční instalaci vyžaduje přeinstalaci produktu. Přepnutí kanálu produktu: Odinstalujte existující balíček, překonfigurujte zařízení tak, aby používalo nový kanál, a podle pokynů v tomto dokumentu nainstalujte balíček z nového umístění.

Konfigurace zásad pro Microsoft Defender na Linux

Informace o konfiguraci nastavení antivirové ochrany a EDR najdete v následujících článcích:

Související obsah

  • Last updated on