Aktivieren der Bereitstellung von Microsoft Defender for Endpoint an einem benutzerdefinierten Speicherort

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Einführung

Microsoft Defender for Endpoint unter Linux unterstützt die Installation an benutzerdefinierten Standorten, sodass Organisationen den Agent basierend auf ihren spezifischen Anforderungen an nicht standardmäßigen Standorten bereitstellen können. Dieses Feature ist nützlich für Umgebungen mit:

• Benutzerdefinierte Verzeichnisstrukturen und Organisationsrichtlinien
• Begrenzter Speicherplatz auf dem Stammdateisystem
• Spezifische Complianceanforderungen für die Anwendungsplatzierung

Defender für Endpunkt wird standardmäßig im Verzeichnis /opt/microsoft/mdatpinstalliert. Bei der Installation eines benutzerdefinierten Speicherorts können Sie während der ersteinrichtung ein anderes Basisverzeichnis auswählen. Defender für Endpunkt verwendet dann die gleiche interne Ordnerstruktur am angegebenen Speicherort. Nach der Installation bleibt der ausgewählte Speicherort fest, und nachfolgende Upgrades verwenden weiterhin Ihren ursprünglichen benutzerdefinierten Speicherort. Das spätere Ändern des Installationsspeicherorts wird nicht unterstützt. Wenn Sie einen anderen Speicherort verwenden müssen, müssen Sie Defender für Endpunkt deinstallieren und dann am neuen Speicherort neu installieren.

Voraussetzungen und Systemanforderungen

Stellen Sie vor der Bereitstellung von Defender für Endpunkt an einem benutzerdefinierten Speicherort sicher, dass die folgenden Anforderungen erfüllt sind:

Voraussetzungen

• Das benutzerdefinierte Installationsverzeichnis und die gesamte Struktur müssen mindestens rwxr-xr-x über (755) Berechtigungen verfügen.

• Der Zielspeicherort muss über ausreichend Speicherplatz verfügen (mindestens 2 GB, mehr für Hochleistungsworkloads).

• Wenn SELinux aktiviert ist, muss das semanage Tool installiert werden, um den richtigen Dateikontext für den benutzerdefinierten Speicherort festzulegen.

• Aus Sicherheits- und Zuverlässigkeitsgründen wird dringend empfohlen, an einem Speicherort in einem dauerhaft eingebundenen lokalen Dateisystem zu installieren. Vermeiden Sie die Verwendung von Wechselmedien, Netzwerkbereitstellungen oder Dateisystemen, die während des Systembetriebs aufgehoben werden könnten, da dies zu Microsoft Defender for Endpoint Dienstausfällen und Sicherheitsrisiken führen kann.

Unterstützte Distributionen und Featureverfügbarkeit

• Die Installation eines benutzerdefinierten Speicherorts wird für alle unterstützten Linux-Distributionen sowohl für x64- als auch für ARM64-Architekturen unterstützt.

• Das Benutzerdefinierte Standortfeature ist ab Version 101.25062.0003 von Defender für Endpunkt für Linux verfügbar.

Schritte für die Installation an einem benutzerdefinierten Speicherort

In diesem Abschnitt werden die zusätzlichen Schritte beschrieben, die für die Bereitstellung von Defender für Endpunkt an einem benutzerdefinierten Speicherort mit verschiedenen unterstützten Methoden erforderlich sind.

• Installationsskript:

  Die empfohlene Methode besteht darin, das mde_installer.sh Skript mit der --install-path /your/custom/path Option zum Zeitpunkt der Installation auszuführen. Weitere Informationen finden Sie im Installationsskriptbereitstellungshandbuch.

• Automatisierungstools von Drittanbietern:

  Lösungen wie Ansible, Chef, Puppet und SaltStack können die Bereitstellung automatisieren, indem das mde_installer.sh Skript zum Zeitpunkt der Installation mit der --install-path /your/custom/path Option ausgeführt wird. Weitere Informationen finden Sie im Installationsskriptbereitstellungshandbuch.

• Manuelle Installation:

  Wenn Sie eine manuelle Einrichtung bevorzugen, müssen Sie zusätzliche Schritte zur Vorinstallation ausführen, um Ihren benutzerdefinierten Speicherort vorzubereiten. Ausführliche Anweisungen finden Sie im nächsten Abschnitt .

Manuelle Installation: Setup der Vorinstallation

In den Manuellen Bereitstellungsschritten müssen Sie eine zusätzliche Vorinstallationseinrichtung abschließen, um die Installation eines benutzerdefinierten Speicherorts zu aktivieren. Führen Sie die folgenden Schritte als Teil des Setups der Vorinstallation für die Installation eines benutzerdefinierten Speicherorts aus.

Wichtig

Es wird dringend empfohlen, ein neues, dediziertes (leeres) Verzeichnis für den benutzerdefinierten Installationspfad auszuwählen. Während der Deinstallation/Bereinigung versucht der Prozess, dieses Verzeichnis und seinen gesamten Inhalt rekursiv zu entfernen. Daher ist es wichtig, kein freigegebenes oder vorhandenes Verzeichnis zu verwenden, das andere Daten enthält, die Sie möglicherweise beibehalten müssen.

1. Legen Sie ihre benutzerdefinierte Pfadvariable fest:

   Hinweis

   Der benutzerdefinierte Pfad muss ein absoluter Pfad sein (z. B /your/custom/path. ). Relative Pfade werden nicht unterstützt.

   export CUSTOM_PATH="/your/custom/path"
   

2. Erstellen Sie die erforderlichen Verzeichnisse und konfigurationsdatei:

   sudo mkdir -p "${CUSTOM_PATH}"
   sudo mkdir -p /etc/opt/microsoft/mdatp
   echo '{"path": "'${CUSTOM_PATH}'"}' | sudo tee /etc/opt/microsoft/mdatp/mde_path.json
   

3. Berechtigungen festlegen:

   sudo chmod 755 "${CUSTOM_PATH}"
   sudo chmod 644 /etc/opt/microsoft/mdatp/mde_path.json
   

4. Symlink erstellen:

    sudo ln -sf "${CUSTOM_PATH}/opt/microsoft/mdatp" /opt/microsoft/mdatp
   

Fahren Sie dann mit den Standardinstallationsschritten für Ihre Distribution fort.

Upgrade und Wartung

Upgrades für Defender für Endpunkt, die an einem benutzerdefinierten Speicherort installiert werden, funktionieren genauso wie Standardinstallationen – das Installationsprogramm behält ihren vorhandenen Speicherort und Ihre vorhandene Konfiguration automatisch bei.

Wichtig

Das Ändern des Installationspfads während eines Upgrades wird nicht unterstützt. Wenn Sie den Installationspfad ändern müssen, müssen Sie zunächst Defender für Endpunkt deinstallieren und dann am neuen Speicherort neu installieren.

Häufig gestellte Fragen

Kann ich Defender für Endpunkt in einem beliebigen Verzeichnis installieren?
Ja, solange der Pfad zum Installationsspeicherort ein absoluter Pfad mit mindestens 755 Berechtigungen und genügend Speicherplatz (mindestens 2 GB) ist.

Kann ich den Defender für Endpunkt-Installationsspeicherort nach der Installation ändern?
Nein, Sie müssen deinstallieren und neu installieren, um einen anderen Speicherort zu verwenden.

Gewusst wie ein Upgrade von Defender für Endpunkt an einem benutzerdefinierten Speicherort durchführen?
Führen Sie die üblichen Upgradebefehle aus. Der Installationsspeicherort bleibt unverändert.

Kann ich den benutzerdefinierten Speicherort während des Upgrades ändern?
Nein, Änderungen am Installationsspeicherort erfordern eine neue Installation.

Problembehandlung

1. Überprüfen des Installationsspeicherorts

• Überprüfen Sie ausgeführte Prozesse:

  Führen Sie aus: ps aux | grep wdavdaemon. Die Ausgabe sollte wdavdaemon-Prozesspfade für microsoft_mdatp enthalten. Zum Beispiel:

  root 747798 0.3 1.5 1037180 154336 ? Ssl 12:26 0:21 /var/tmp/TestInstall/microsoft_mdatp/opt/microsoft/mdatp/sbin/wdavdaemon
  root      747844  0.0  0.8 945692 79676 ?        Sl   12:26   0:04 /var/tmp/TestInstall/microsoft_mdatp/opt/microsoft/mdatp/sbin/wdavdaemon edr 16 15 --log_level info
  

• Überprüfen Sie status des Diensts:

  Führen Sie Folgendes aus: systemctl status mdatp

  ● mdatp.service - Microsoft Defender
           Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
           Active: active (running) since ...
           Main PID: 747798 (wdavdaemon)
           ...
           CGroup: /system.slice/mdatp.service
                   ‣ 747798 /var/tmp/TestInstall/microsoft_mdatp/opt/microsoft/mdatp/sbin/wdavdaemon
  

• Überprüfen Sie den benutzerdefinierten Installationspfad in der mde_path.json-Datei :

  • Primär: /etc/opt/microsoft/mdatp/mde_path.json
    • Beispiel: {"path": "/var/tmp/TestInstall/microsoft_mdatp"}
    • Falls fehlend oder falsch formatiert, Microsoft Defender for Endpoint Fallbacks auf die sekundäre Datei.
  • Sekundär: <custom_installation_path>/opt/microsoft/mdatp/conf/mde_path.json
    • Sollte mit der primären Konfiguration übereinstimmen.
    • Diese Datei wird zum Zeitpunkt der Installation erstellt.
    • Inkonsistenzen können auf eine Beschädigung der Installation hinweisen.
  • Stellen Sie sicher, dass der Pfad absolut ist.

2. Überprüfen des Symlinks zum benutzerdefinierten Speicherort

Führen Sie aus: ls -ltr /opt/microsoft/mdatp. Die Ausgabe sollte als Symlink zu Ihrem benutzerdefinierten Speicherort angezeigt /opt/microsoft/mdatp werden. Zum Beispiel:

lrwxrwxrwx 1 root root ... /opt/microsoft/mdatp -> /var/tmp/TestInstall/microsoft_mdatp/opt/microsoft/mdatp

Verwandte Inhalte

• Voraussetzungen für Defender für Endpunkt unter Linux

• Bereitstellungsmethoden:

  • Installationsprogrammskriptbasierte Bereitstellung
  • Ansible-basierte Bereitstellung
  • Chef-basierte Bereitstellung
  • Puppet-basierte Bereitstellung
  • Saltstack-basierte Bereitstellung
  • Verbinden Ihrer Nicht-Azure-Computer mit Defender für Cloud mit Defender für Endpunkt (direktes Onboarding mithilfe von Defender für Cloud)
  • Bereitstellungsleitfaden für Defender für Endpunkt unter Linux für SAP
  • Manuelles Bereitstellen von Defender für Endpunkt unter Linux

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.