Del via

Udrul Microsoft Defender for Endpoint på Linux manuelt

  • Artikel

Vil du opleve Defender for Endpoint? Tilmeld dig en gratis prøveversion.

Tip

Leder du efter avanceret vejledning i udrulning af Microsoft Defender for Endpoint på Linux? Se Avanceret installationsvejledning på Defender for Endpoint på Linux.

I denne artikel beskrives det, hvordan du installerer Microsoft Defender for Endpoint på Linux manuelt. En vellykket installation kræver fuldførelse af alle følgende opgaver:

Forudsætninger og systemkrav

Før du går i gang, skal du se Microsoft Defender for Endpoint på Linux for at få en beskrivelse af forudsætninger og systemkrav til den aktuelle softwareversion.

Advarsel

Opgradering af operativsystemet til en ny overordnet version, efter at produktinstallationen kræver, at produktet geninstalleres. Du skal fjerne det eksisterende Defender for Endpoint på Linux, opgradere operativsystemet og derefter konfigurere Defender for Endpoint igen på Linux ved at følge nedenstående trin.

Konfigurer Linux-softwarelageret

Defender for Endpoint på Linux kan installeres fra en af følgende kanaler (kaldet [channel]): insiders-fast, insiders-slow eller prod. Hver af disse kanaler svarer til et Linux-softwarelager. I vejledningen i denne artikel beskrives, hvordan du konfigurerer din enhed til at bruge et af disse lagre.

Valget af kanalen bestemmer typen og hyppigheden af opdateringer, der tilbydes til din enhed. Enheder i insiders-fast er de første, der modtager opdateringer og nye funktioner, efterfulgt senere af insiders-langsomme og til sidst af prod.

For at få forhåndsvist nye funktioner og give tidlig feedback anbefales det, at du konfigurerer nogle enheder i din virksomhed til at bruge enten insiders-fast eller insiders-slow.

Advarsel

Hvis du skifter kanal efter den første installation, skal produktet geninstalleres. Hvis du vil skifte produktkanal: Fjern den eksisterende pakke, genkonfigurer enheden, så den bruger den nye kanal, og følg trinnene i dette dokument for at installere pakken fra den nye placering.

Installationsscript

Mens vi diskuterer manuel installation, kan du også bruge et automatiseret bash-installationsscript i vores offentlige GitHub-lager. Scriptet identificerer distributionen og versionen, forenkler valget af det rigtige lager, konfigurerer enheden til at trække den nyeste pakke og kombinerer produktinstallationen og onboardingtrinnene.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Læs mere her.

RHEL og varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky og Alma)

SLES og varianter

Bemærk!

Din distribution og version, og identificer den nærmeste post (efter overordnet og derefter underordnet) for den under https://packages.microsoft.com/config/sles/.

I følgende kommandoer skal du erstatte [distro] og [version] med de oplysninger, du har identificeret:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Tip

Brug kommandoen SPident til at identificere systemrelaterede oplysninger, herunder version [version].

Hvis du f.eks. kører SLES 12 og ønsker at udrulle Microsoft Defender for Endpoint på Linux fra prod kanalen:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • Installér den offentlige nøgle til Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Ubuntu- og Debian-systemer

  • Installér curl , hvis den ikke er installeret endnu:

    sudo apt-get install curl

  • Installér libplist-utils , hvis den ikke er installeret endnu:

    sudo apt-get install libplist-utils

    Bemærk!

    Din distribution og version, og identificer den nærmeste post (efter overordnet og derefter underordnet) for den under https://packages.microsoft.com/config/[distro]/.

    I følgende kommando skal du erstatte [distro] og [version] med de oplysninger, du har identificeret:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Tip

    Brug kommandoen hostnamectl til at identificere systemrelaterede oplysninger, herunder version [version].

    Hvis du f.eks. kører Ubuntu 18.04 og ønsker at installere Microsoft Defender for Endpoint på Linux fra prod kanalen:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • Installér lagerkonfigurationen:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Hvis du f.eks. vælger prod kanal:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • Installér pakken, hvis den gpg ikke allerede er installeret:

    sudo apt-get install gpg

    Hvis gpg ikke er tilgængelig, skal du installere gnupg.

    sudo apt-get install gnupg

  • Installér den offentlige nøgle til Microsoft GPG:

    • Kør følgende kommando for Debian 11 og tidligere.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

Kør følgende kommando for Debian 12 og nyere.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • Installér HTTPS-driveren, hvis den ikke allerede er installeret:

    sudo apt-get install apt-transport-https

  • Opdater metadataene for lageret:

    sudo apt-get update

Mariner

  • Installér dnf-plugins-core , hvis den ikke er installeret endnu:

    sudo dnf install dnf-plugins-core

  • Konfigurer og aktivér de påkrævede lagre

    Bemærk!

    På Mariner er Insider Fast Channel ikke tilgængelig.

    Hvis du vil installere Defender for Endpoint på Linux fra prod kanalen. Brug følgende kommandoer

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Eller hvis du vil udforske nye funktioner på udvalgte enheder, kan det være en god idé at udrulle Microsoft Defender for Endpoint på Linux til en kanal, der er langsom for insidere. Brug følgende kommandoer:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Programinstallation

RHEL og varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky og Alma)

sudo yum install mdatp

Bemærk!

Hvis du har flere Microsoft-lagre konfigureret på din enhed, kan du være specifik om, hvilket lager pakken skal installeres fra. I følgende eksempel kan du se, hvordan du installerer pakken fra production kanalen, hvis lagerkanalen insiders-fast også er konfigureret på denne enhed. Denne situation kan opstå, hvis du bruger flere Microsoft-produkter på din enhed. Afhængigt af distributionen og versionen af din server kan lagerets alias være anderledes end det i følgende eksempel.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES og varianter

sudo zypper install mdatp

Bemærk!

Hvis du har flere Microsoft-lagre konfigureret på din enhed, kan du være specifik om, hvilket lager pakken skal installeres fra. I følgende eksempel kan du se, hvordan du installerer pakken fra production kanalen, hvis lagerkanalen insiders-fast også er konfigureret på denne enhed. Denne situation kan opstå, hvis du bruger flere Microsoft-produkter på din enhed.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- og Debian-systemer

sudo apt-get install mdatp

Bemærk!

Hvis du har flere Microsoft-lagre konfigureret på din enhed, kan du være specifik om, hvilket lager pakken skal installeres fra. I følgende eksempel kan du se, hvordan du installerer pakken fra production kanalen, hvis lagerkanalen insiders-fast også er konfigureret på denne enhed. Denne situation kan opstå, hvis du bruger flere Microsoft-produkter på din enhed.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Bemærk!

Genstart er IKKE påkrævet efter installation eller opdatering af Microsoft Defender for Endpoint på Linux, undtagen når du kører overvåget i uforanderlig tilstand.

Mariner

sudo dnf install mdatp

Bemærk!

Hvis du har flere Microsoft-lagre konfigureret på din enhed, kan du være specifik om, hvilket lager pakken skal installeres fra. I følgende eksempel kan du se, hvordan du installerer pakken fra production kanalen, hvis lagerkanalen insiders-slow også er konfigureret på denne enhed. Denne situation kan opstå, hvis du bruger flere Microsoft-produkter på din enhed.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Download onboardingpakken

Download onboardingpakken fra Microsoft Defender portal.

Advarsel

Ompakning af Defender for Endpoint-installationspakken er ikke et understøttet scenarie. Hvis du gør det, kan det påvirke produktets integritet negativt og føre til negative resultater, herunder, men ikke begrænset til, at udløse manipulation af beskeder og opdateringer, der ikke kan anvendes.

Vigtigt!

Hvis du går glip af dette trin, viser en kommando, der udføres, en advarsel om, at produktet er uden licens. mdatp health Kommandoen returnerer også værdien .false

  1. I Microsoft Defender-portalen skal du gå til Indstillinger > Slutpunkter > Onboarding af enhedshåndtering>.

  2. Vælg Linux Server som operativsystem i den første rullemenu. I den anden rullemenu skal du vælge Lokalt script som installationsmetode.

  3. Vælg Download onboarding-pakke. Gem filen som WindowsDefenderATPOnboardingPackage.zip.

    Download af en onboardingpakke på Microsoft Defender-portalen

  4. Kontrollér, at du har filen, i en kommandoprompt, og udtræk indholdet af arkivet:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Klientkonfiguration

  1. Kopiér MicrosoftDefenderATPOnboardingLinuxServer.py til destinationsenheden.

    Bemærk!

    Indledningsvist er klientenheden ikke knyttet til en organisation, og attributten orgId er tom.

    mdatp health --field org_id

  2. Kør MicrosoftDefenderATPOnboardingLinuxServer.py.

    Bemærk!

    Hvis du vil køre denne kommando, skal du have python eller python3 installeret på enheden, afhængigt af distributionen og versionen. Hvis det er nødvendigt, skal du se Trinvise instruktioner til installation af Python på Linux.

    Bemærk!

    Hvis du vil onboarde en enhed, der tidligere er blevet offboardet, skal du fjerne den mdatp_offboard.json fil, der er placeret på /etc/opt/microsoft/mdatp.

    Hvis du kører RHEL 8.x eller Ubuntu 20.04 eller nyere, skal du bruge python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    I resten af distributioner og versioner skal du bruge python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Bekræft, at enheden nu er knyttet til din organisation, og rapporterer et gyldigt organisations-id:

    mdatp health --field org_id

  4. Kontrollér status for produktet ved at køre følgende kommando. En returværdi for true angiver, at produktet fungerer som forventet:

    mdatp health --field healthy

    Vigtigt!

    Når produktet starter for første gang, downloades de nyeste antimalwaredefinitioner. Dette kan tage op til et par minutter, afhængigt af netværksforbindelsen. I denne periode returnerer ovenstående kommando en værdi af typen false. Du kan kontrollere status for definitionsopdateringen ved hjælp af følgende kommando:

    mdatp health --field definitions_status

    Bemærk, at du muligvis også skal konfigurere en proxy, når du har fuldført den første installation. Se Konfigurer Defender for Endpoint på Linux for at få oplysninger om registrering af statisk proxy: Konfiguration efter installation.

  5. Kør en AV-registreringstest for at bekræfte, at enheden er onboardet korrekt, og at den rapporterer til tjenesten. Udfør følgende trin på den nyligt onboardede enhed:

    • Sørg for, at beskyttelse i realtid er aktiveret (angivet af et resultat af true at køre følgende kommando):

      mdatp health --field real_time_protection_enabled

      Hvis den ikke er aktiveret, skal du udføre følgende kommando:

      mdatp config real-time-protection --value enabled

    • Åbn et terminalvindue, og udfør følgende kommando for at køre en registreringstest:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • Du kan køre flere registreringstest på zip-filer ved hjælp af en af følgende kommandoer:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    • Filerne skal sættes i karantæne af Defender for Endpoint på Linux. Brug følgende kommando til at få vist alle registrerede trusler:

      mdatp threat list

  6. Kør en EDR-registreringstest, og simuler en registrering for at bekræfte, at enheden er onboardet korrekt, og rapportere til tjenesten. Udfør følgende trin på den nyligt onboardede enhed:

  • Bekræft, at den onboardede Linux-server vises i Microsoft Defender XDR. Hvis dette er den første onboarding af maskinen, kan det tage op til 20 minutter, indtil det vises.

    • Download og udpak scriptfilen til en onboardet Linux-server, og kør følgende kommando: ./mde_linux_edr_diy.sh

    • Efter et par minutter skal en registrering opløftes i Microsoft Defender XDR.

    • Se beskedoplysningerne, computerens tidslinje, og udfør dine typiske undersøgelsestrin.

Microsoft Defender for Endpoint pakkeafhængigheder for eksterne pakker

Der findes følgende eksterne pakkeafhængigheder for mdatp-pakken:

  • Mdatp RPM-pakken kræver glibc >= 2.17, audit, policycoreutils, semanageselinux-policy-targeted, mde-netfilter
  • For DEBIAN kræver libc6 >= 2.23mdatp-pakken , uuid-runtime, , auditdmde-netfilter
  • For Mariner kræver attrmdatp-pakken , audit, diffutils, libacl, libattr, libselinux-utils, selinux-policy, , policycoreutilsmde-netfilter

Mde-netfilter-pakken har også følgende pakkeafhængigheder:

  • For DEBIAN kræver libnetfilter-queue1mde-netfilter-pakken , libglib2.0-0
  • For RPM kræver libmnlmde-netfilter-pakken , libnfnetlink, , libnetfilter_queueglib2
  • For Mariner kræver libnfnetlinkmde-netfilter-pakken , libnetfilter_queue

Hvis Microsoft Defender for Endpoint installationen mislykkes på grund af manglende afhængighedsfejl, kan du manuelt downloade de påkrævede afhængigheder.

Problemer med loginstallation

Se Problemer med installation af logfil for at få flere oplysninger om, hvordan du finder den automatisk genererede log, der oprettes af installationsprogrammet, når der opstår en fejl.

Sådan overfører du fra Insiders-Fast til en produktionskanal

  1. Fjern versionen Insiders-Fast channel af Defender for Endpoint på Linux.

    sudo yum remove mdatp

  2. Deaktiver Defender for Endpoint på Linux-Insiders-Fast lager

    sudo yum repolist

    Bemærk!

    Outputtet skal vise packages-microsoft-com-fast-prod.

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Geninstaller Microsoft Defender for Endpoint på Linux ved hjælp af produktionskanalen.

Fjern installation

Se Fjern for at få oplysninger om, hvordan du fjerner Defender for Endpoint på Linux fra klientenheder.

Se også

Tip

Vil du vide mere? Engage med Microsoft Security-community'et i vores tech-community: Microsoft Defender for Endpoint Tech Community.