Řešení potíží s instalací Microsoft Defender for Endpoint v Linuxu

Platí pro:

• Plán 1 pro Microsoft Defender for Endpoint
• Plán 2 pro Microsoft Defender pro koncový bod
• Microsoft Defender XDR

Chcete používat Defender pro Endpoint? Zaregistrujte se a získejte bezplatnou zkušební verzi,

Ověřte, že instalace proběhla úspěšně.

Chyba při instalaci může nebo nemusí vést ke smysluplné chybové zprávě správce balíčků. Pokud chcete ověřit, jestli instalace proběhla úspěšně, získejte a zkontrolujte protokoly instalace pomocí:

 sudo journalctl --no-pager|grep 'microsoft-mdatp' > installation.log

 grep 'postinstall end' installation.log

 microsoft-mdatp-installer[102243]: postinstall end [2020-03-26 07:04:43OURCE +0000] 102216

Výstup předchozího příkazu se správným datem a časem instalace indikuje úspěch.

Zkontrolujte také konfiguraci klienta , abyste ověřili stav produktu a zjistili textový soubor EICAR.

Ujistěte se, že máte správný balíček.

Ověřte, že balíček, který instalujete, odpovídá distribuci a verzi hostitele.

---

Balíček	Distribuce
mdatp-rhel8. Linux.x86_64.rpm	Oracle, RHEL a CentOS 8.x
mdatp-sles12. Linux.x86_64.rpm	SUSE Linux Enterprise Server 12.x
mdatp-sles15. Linux.x86_64.rpm	SUSE Linux Enterprise Server 15.x
mdatp. Linux.x86_64.rpm	Oracle, RHEL a CentOS 7.x
mdatp. Linux.x86_64.deb	Debian a Ubuntu 16.04, 18.04 a 20.04

Pro ruční nasazení se ujistěte, že je vybraná správná distribuce a verze.

Instalace selhala kvůli chybě závislosti

Pokud se instalace Microsoft Defender for Endpoint nezdaří kvůli chybám chybějících závislostí, můžete požadované závislosti stáhnout ručně.

Pro balíček mdatp existují následující závislosti externích balíčků:

• Balíček mdatp RPM vyžaduje glibc >= 2.17, audit, , policycoreutils, semanage, , selinux-policy-targetedmde-netfilter
• Pro RHEL6 balíček mdatp RPM vyžaduje audit, , policycoreutils, , libselinuxmde-netfilter
• Pro DEBIAN balíček mdatp vyžaduje libc6 >= 2.23, , uuid-runtime, , auditdmde-netfilter

Balíček mde-netfilter má také následující závislosti balíčků:

• Pro DEBIAN balíček mde-netfilter vyžaduje libnetfilter-queue1, libglib2.0-0
• Pro RPM balíček mde-netfilter vyžaduje libmnl, , libnfnetlink, , libnetfilter_queueglib2

Instalace se nezdařila.

Zkontrolujte, jestli je spuštěná služba Defender for Endpoint:

service mdatp status

 ● mdatp.service - Microsoft Defender for Endpoint
   Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
   Active: active (running) since Thu 2020-03-26 10:37:30 IST; 23h ago
 Main PID: 1966 (wdavdaemon)
    Tasks: 105 (limit: 4915)
   CGroup: /system.slice/mdatp.service
           ├─1966 /opt/microsoft/mdatp/sbin/wdavdaemon
           ├─1967 /opt/microsoft/mdatp/sbin/wdavdaemon
           └─1968 /opt/microsoft/mdatp/sbin/wdavdaemon

Postup řešení potíží v případě, že není spuštěná služba mdatp

1. Zkontrolujte, jestli mdatp uživatel existuje:

   id "mdatp"
   

   Pokud není k dispozici žádný výstup, spusťte příkaz

   sudo useradd --system --no-create-home --user-group --shell /usr/sbin/nologin mdatp
   

2. Zkuste službu povolit a restartovat pomocí:

   sudo service mdatp start
   

   sudo service mdatp restart
   

3. Pokud se po spuštění předchozího příkazu nenajde mdatp.service, spusťte:

   sudo cp /opt/microsoft/mdatp/conf/mdatp.service <systemd_path> 
   

   kde <systemd_path> je /lib/systemd/system pro distribuce Ubuntu a Debian a /usr/lib/systemd/system' pro Rhel, CentOS, Oracle a SLES. Pak znovu spusťte krok 2.

4. Pokud výše uvedené kroky nefungují, zkontrolujte, jestli je nainstalovaný systém SELinux a jestli je v režimu vynucování. Pokud ano, zkuste ho nastavit na povolený (nejlépe) nebo zakázaný režim. Můžete to provést nastavením parametru SELINUX na permissive hodnotu nebo disabled v /etc/selinux/config souboru a následným restartováním. Další podrobnosti najdete na stránce s informacemi o selinuxu. Teď zkuste restartovat službu mdatp pomocí kroku 2. Jakmile se o to pokusíte, vraťte změnu konfigurace okamžitě, ale z bezpečnostních důvodů a restartujte ji.

5. Pokud /opt je adresář symbolickým odkazem, vytvořte připojení vazby pro /opt/microsoft.

6. Ujistěte se, že démon má oprávnění ke spustitelnému souboru.

   ls -l /opt/microsoft/mdatp/sbin/wdavdaemon
   

   -rwxr-xr-x 2 root root 15502160 Mar  3 04:47 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   Pokud démon nemá oprávnění ke spustitelnému souboru, nastavte ho jako spustitelný pomocí:

   sudo chmod 0755 /opt/microsoft/mdatp/sbin/wdavdaemon
   

   a zkuste znovu spustit krok 2.

7. Ujistěte se, že systém souborů obsahující wdavdaemon není připojený k noexec.

Pokud je služba Defender for Endpoint spuštěná, ale detekce textového souboru EICAR nefunguje

1. Zkontrolujte typ systému souborů pomocí:

   findmnt -T <path_of_EICAR_file>
   

   Aktuálně podporované systémy souborů pro aktivity při přístupu jsou uvedené tady. Žádné soubory mimo tyto systémy souborů se nekontrolují.

Nástroj příkazového řádku mdatp nefunguje

1. Pokud spuštění nástroje mdatp příkazového řádku zobrazí chybu command not found, spusťte následující příkaz:

   sudo ln -sf /opt/microsoft/mdatp/sbin/wdavdaemonclient /usr/bin/mdatp
   

   a zkuste to znovu.

   Pokud žádný z výše uvedených kroků nepomůže, shromážděte diagnostické protokoly:

   sudo mdatp diagnostic create
   

   Diagnostic file created: <path to file>
   

   Jako výstup se zobrazí cesta k souboru ZIP, který obsahuje protokoly. S těmito protokoly se obraťte na naši zákaznickou podporu.

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.