Del via

Udrul Microsoft Defender slutpunktssikkerhed på Linux-enheder ved hjælp af Defender-udrulningsværktøjet (prøveversion)

  • Gælder for: Microsoft Defender for Business, Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Defender-udrulningsværktøjet giver en effektiv og brugervenlig onboardingproces for Microsoft Defender for Endpoint på Linux-enheder. Det giver brugerne mulighed for at installere og onboarde Microsoft Defender for Endpoint ved hjælp af en enkelt pakke, der kan downloades fra Microsoft Defender portalen. Dette fjerner behovet for at installere Defender ved hjælp af installationsscript/cli-kommandoer og derefter separat at onboarde enheden ved hjælp af onboardingpakken fra portalen.

Defender-deployment tool understøtter både manuel og masse onboarding via tredjepartsværktøjer som Chef, Ansible, Puppet og SaltStack. Værktøjet understøtter flere parametre, som du kan bruge til at tilpasse udrulninger i stor skala, hvilket gør det muligt at have skræddersyede installationer på tværs af forskellige miljøer.

Forudsætninger og systemkrav

Før du kommer i gang, skal du se Forudsætninger for Microsoft Defender for Endpoint på Linux for at få en beskrivelse af forudsætninger og systemkrav. Derudover skal følgende krav også være opfyldt:

  • Tillad forbindelse til URL-adressen: msdefender.download.prss.microsoft.com. Før du begynder udrulningen, skal du sørge for at køre forbindelsestesten, som kontrollerer, om URL-adresserne til Defender for Endpoint bruger er tilgængelige eller ej.
  • Slutpunktet skal have enten wget eller curl installeret.

Defender-installationsværktøjet gennemtvinger følgende sæt forudsætningskontroller, som, hvis de ikke opfyldes, afbryder installationsprocessen:

  • Enhedshukommelse: Større end 1 GB
  • Tilgængelig diskplads på enheden: Større end 2 GB
  • Glibc-biblioteksversion på enheden: Nyere end 2.17
  • mdatp-version på enheden: Skal være en understøttet version og ikke udløbet. Kør kommandoen -mdatp healthfor at kontrollere produktets udløbsdato.

Installation: Trinvis vejledning

  1. Download Defender-installationsværktøjet fra Defender-portalen ved hjælp af følgende trin.

    1. Gå til Indstillinger>Slutpunkter>Onboarding af enhedshåndtering>.

    2. I rullemenuen Trin 1 skal du vælge Linux Server (prøveversion) som operativsystemet.

    3. Under Download og anvend onboardingpakker eller filer skal du vælge knappen Download pakke .

    Bemærk!

    Da denne pakke installeres og onboardes agenten, er det en lejerspecifik pakke og må ikke bruges på tværs af lejere.

    Skærmbillede, der viser knappen downloadpakke.

  2. Udtræk indholdet af arkivet fra en kommandoprompt:

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive: WindowsDefenderATPOnboardingPackage.zip
inflating: defender_deployment_tool.sh

  3. Tildel eksekverbare tilladelser til scriptet.

    chmod +x defender_deployment_tool.sh

  4. Kør scriptet ved hjælp af følgende kommando for at installere og onboarde Microsoft Defender for Endpoint på dit slutpunkt.

    sudo bash defender_deployment_tool.sh

    Denne kommando installerer den nyeste agentversion fra produktionskanalen og onboarder enheden til Defender-portalen. Det kan tage 5-20 minutter, før enheden vises i enhedslageret.

    Bemærk!

    Hvis du har konfigureret en proxy for hele systemet til omdirigering af Defender for slutpunktstrafik, skal du sørge for at konfigurere proxyen ved hjælp af Defender-installationsværktøjet. Se kommandolinjehjælpen (--help) for at få oplysninger om tilgængelige proxyindstillinger.

  5. Du kan tilpasse udrulningen yderligere ved at overføre parametre til værktøjet på baggrund af dine krav. Brug indstillingen --help til at se alle de tilgængelige indstillinger:

     ./defender_deployment_tool.sh --help

    Skærmbillede, der viser outputtet fra Hjælp-kommandoen.

    Følgende tabel indeholder eksempler på kommandoer til nyttige scenarier.

    Scenarie Kommando
    Kontrollér, om der er uopfyldte forudsætninger for ikke-blokerende sudo ./defender_deployment_tool.sh --pre-req-non-blocking
    Kør forbindelsestesten sudo ./defender_deployment_tool.sh --connectivity-test
    Udrul på en brugerdefineret placering sudo ./defender_deployment_tool.sh --install-path /usr/microsoft/
    Udrul fra den insider-langsomme kanal sudo ./defender_deployment_tool.sh --channel insiders-slow
    Udrul ved hjælp af en proxy sudo ./defender_deployment_tool.sh --http-proxy <http://username:password@proxy_host:proxy_port>
    Udrul en bestemt agentversion sudo ./defender_deployment_tool.sh --mdatp 101.25042.0003 --channel prod
    Opgrader til en bestemt agentversion sudo ./defender_deployment_tool.sh --upgrade --mdatp 101.24082.0004
    Nedgrader til en bestemt agentversion sudo ./defender_deployment_tool.sh --downgrade --mdatp 101.24082.0004
    Fjern Defender sudo ./defender_deployment_tool.sh --remove
    Kun ombord, hvis Defender allerede er installeret sudo ./defender_deployment_tool.sh --only-onboard
    Offboard Defender sudo ./defender_deployment_tool.sh --offboard MicrosoftDefenderATPOffboardingLinuxServer.py
    (Bemærk! Den nyeste offboarding-fil kan downloades fra Microsoft Defender-portalen)

Kontrollér installationsstatus

  1. Åbn enhedslageret på Microsoft Defender-portalen. Det kan tage 5-20 minutter, før enheden vises på portalen.

  2. Kør en test til registrering af antivirus for at bekræfte, at enheden er onboardet korrekt, og rapportering til tjenesten. Udfør følgende trin på den nyligt onboardede enhed:

    1. Sørg for, at beskyttelse i realtid er aktiveret (angivet af et resultat af true fra kørsel af følgende kommando):

      mdatp health --field real_time_protection_enabled

      Hvis den ikke er aktiveret, skal du udføre følgende kommando:

      mdatp config real-time-protection --value enabled

    2. Åbn et terminalvindue, og udfør følgende kommando for at køre en registreringstest:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Du kan køre flere registreringstest på zip-filer ved hjælp af en af følgende kommandoer:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. Filerne skal sættes i karantæne af Defender for Endpoint på Linux. Brug følgende kommando til at få vist alle registrerede trusler:

      mdatp threat list

  3. Kør en EDR-registreringstest, og simuler en registrering for at bekræfte, at enheden er onboardet korrekt, og rapportere til tjenesten. Udfør følgende trin på den nyligt onboardede enhed:

    1. Download og udpak scriptfilen til en onboardet Linux-server.

    2. Tildel eksekverbare tilladelser til scriptet:

      chmod +x mde_linux_edr_diy.sh

    3. Kør følgende kommando:

      ./mde_linux_edr_diy.sh

    4. Efter et par minutter skal en registrering hæves i Microsoft Defender XDR.

    5. Kontrollér beskedoplysningerne, computerens tidslinje, og udfør dine typiske undersøgelsestrin.

Kontrollér forbindelsesproblemer

Hvis du oplever problemer med forbindelsen, skal du køre denne kommando for at udføre en forbindelsestest:

sudo ./defender_deployment_tool.sh --connectivity-test

Denne test kan tage noget tid at køre, da den udfører kontroller for alle de URL-adresser, der kræves af mdatp, og finder eventuelle problemer, hvis de findes. Hvis problemet fortsætter, kan du se i fejlfindingsvejledningen.

Foretag fejlfinding af installationen

Når du kører Defender-installationsværktøjet, logføres aktiviteten i denne fil:

/tmp/defender_deployment_tool.log

Hvis du oplever installationsproblemer, skal du først kontrollere logfilen. Hvis det ikke hjælper dig med at løse problemet, kan du prøve at følge disse trin:

  1. Du kan finde oplysninger om, hvordan du finder den logfil, der genereres automatisk, når der opstår en installationsfejl, under Problemer med loginstallation.

  2. Du kan få oplysninger om almindelige installationsproblemer under Installationsproblemer.

  3. Hvis enhedens tilstand er falsk, skal du se Tilstandsproblemer med Defender for Endpoint Agent.

  4. Hvis du har problemer med produktets ydeevne, skal du se Fejlfinding af problemer med ydeevnen.

  5. Hvis du har problemer med proxy og forbindelse, skal du se Fejlfinding af problemer med cloudforbindelsen.

Sådan skifter du mellem kanaler, når du har udrullet fra en kanal

Defender for Endpoint på Linux kan installeres fra en af følgende kanaler:

  • insiders-fast
  • insiders-slow
  • prod (produktion)

Hver af disse kanaler svarer til et Linux-softwarelager. Kanalen bestemmer typen og hyppigheden af opdateringer, der tilbydes til din enhed. Enheder i insiders-fast er de første til at modtage opdateringer og nye funktioner, efterfulgt senere af insidere-langsom og til sidst af prod.

Installationsværktøjet konfigurerer som standard enheden til at bruge prod-kanalen. Du kan bruge de konfigurationsindstillinger, der er beskrevet i dette dokument, til at installere fra en anden kanal.

Hvis du vil have forhåndsvist nye funktioner og give tidlig feedback, anbefales det, at du konfigurerer nogle enheder i din virksomhed til at bruge enten insiders-fast eller insiders-slow. Hvis du allerede har udrullet Defender for Endpoint på Linux fra en kanal og vil skifte til en anden kanal (f.eks. fra prod til insiders-fast), skal du først fjerne den aktuelle kanal og derefter slette det aktuelle kanalopbevaringslagre og derefter til sidst installere Defender fra den nye kanal, som vist i følgende eksempel, hvor kanalen ændres fra insiders-fast til prod:

  1. Fjern den insiders hurtige kanalversion af Defender for Endpoint på Linux.

    sudo ./defender_deployment_tool.sh --remove --channel insiders-fast

  2. Slet Defender for Endpoint på det linux-insiders-hurtige lager.

    sudo ./defender_deployment_tool.sh --clean --channel insiders-fast

  3. Installér Microsoft Defender for Endpoint på Linux ved hjælp af produktionskanalen.

    sudo ./defender_deployment_tool.sh --channel prod

Relateret indhold

  • Last updated on