Ota Microsoft Defender for Endpoint käyttöön Linuxissa manuaalisesti

  • Artikkeli

Koskee seuraavia:

Haluatko kokeilla Defender for Endpointia? Rekisteröidy maksuttomaan kokeiluversioon.

Vihje

Etsitkö lisäohjeita Microsoft Defender for Endpoint käyttöönottoon Linuxissa? Katso Lisäkäyttöönoton opas Defender for Endpointista Linuxissa.

Tässä artikkelissa kuvataan, miten Microsoft Defender for Endpoint otetaan käyttöön Linuxissa manuaalisesti. Onnistunut käyttöönotto edellyttää, että kaikki seuraavat tehtävät on suoritettu loppuun:

Edellytykset ja järjestelmävaatimukset

Ennen kuin aloitat, katso linux Microsoft Defender for Endpoint sivulta kuvaus nykyisen ohjelmistoversion edellytyksistä ja järjestelmävaatimuksista.

Varoitus

Käyttöjärjestelmän päivittäminen uuteen pääversioon tuotteen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Sinun on poistettava aiemmin luodun Defender for Endpointin asennus Linuxissa, päivitettävä käyttöjärjestelmä ja määritettävä sitten Defender Linuxin päätepisteelle seuraavien vaiheiden mukaisesti.

Linux-ohjelmistosäilön määrittäminen

Defender for Endpoint linuxissa voidaan ottaa käyttöön jostakin seuraavista kanavista (kuva alla muodossa [kanava]): insider-käyttäjät nopeasti, insider-hitaita tai prod-kanavia. Jokainen näistä kanavista vastaa Linux-ohjelmistosäilöä. Tämän artikkelin ohjeissa kuvataan laitteen määrittäminen käyttämään jotakin näistä säilöistä.

Kanavan valinta määrittää laitteellesi tarjottavien päivitysten tyypin ja esiintymistiheyden. Insider-laitteiden laitteet ovat ensimmäisiä, jotka saavat päivityksiä ja uusia ominaisuuksia, ja niitä seuraavat myöhemmin insider-käyttäjät, jotka ovat hitaita ja viimeiseksi prod.

Jotta voit esikatsella uusia ominaisuuksia ja antaa varhaista palautetta, on suositeltavaa, että määrität jotkin yrityksesi laitteet käyttämään joko insider-laitteita nopeasti tai insider-hitaita.

Varoitus

Kanavan vaihtaminen ensimmäisen asennuksen jälkeen edellyttää tuotteen uudelleenasentamista. Tuotekanavan vaihtaminen: poista aiemmin luodun paketin asennus, määritä laite uudelleen käyttämään uutta kanavaa ja asenna paketti uudesta sijainnista tämän asiakirjan ohjeiden mukaisesti.

Asennusohjelman komentosarja

Manuaalisessa asennuksessa vaihtoehtoisesti voit käyttää automaattisen asennusohjelman bash-komentosarjaa , joka on annettu julkisessa GitHub-säilössämme. Komentosarja tunnistaa jakelun ja version, yksinkertaistaa oikean säilön valintaa, määrittää laitteen hakemaan uusimman paketin ja yhdistää tuotteen asennuksen ja käyttöönoton vaiheet.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Lue lisää tästä.

RHEL ja variantit (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ja Alma)

SLES ja variantit

Huomautus

Jakelusi ja versiosi ja määritä sen lähin merkintä (päämerkinnän mukaan ja sitten alimerkintä) kohdassa https://packages.microsoft.com/config/sles/.

Korvaa seuraavissa komennoissa [distro] ja [version] tunnistamillasi tiedoilla:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Vihje

Käytä SPident-komentoa tunnistamaan järjestelmään liittyviä tietoja, mukaan lukien julkaisu [versio].

Jos käytössäsi on esimerkiksi SLES 12 ja haluat ottaa Microsoft Defender for Endpoint käyttöön Linuxissa prod-kanavalla:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • Asenna Microsoft GPG:n julkinen avain:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Ubuntu- ja Debian-järjestelmät

  • Asenna curl , jos sitä ei ole vielä asennettu:

    sudo apt-get install curl

  • Asenna libplist-utils , jos sitä ei ole vielä asennettu:

    sudo apt-get install libplist-utils

    Huomautus

    Jakelusi ja versiosi ja määritä sen lähin merkintä (päämerkinnän mukaan ja sitten alimerkintä) kohdassa https://packages.microsoft.com/config/[distro]/.

    Korvaa seuraavassa komennossa [distro] ja [version] tunnistamillasi tiedoilla:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Vihje

    Käytä hostnamectl-komentoa tunnistamaan järjestelmään liittyviä tietoja, mukaan lukien julkaisu [versio].

    Jos käytössäsi on esimerkiksi Ubuntu 18.04 ja haluat ottaa Microsoft Defender for Endpoint käyttöön Linuxissa prod-kanavasta:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • Asenna säilön määritys:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Jos valitsit esimerkiksi prod-kanavan :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • Asenna paketti, gpg jos sitä ei ole vielä asennettu:

    sudo apt-get install gpg

    Jos gpg ei ole käytettävissä, asenna gnupg.

    sudo apt-get install gnupg

  • Asenna Microsoft GPG:n julkinen avain:

    • Suorita seuraava komento Debian 11:lle ja sitä aiemmille.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

Suorita seuraava komento Debian 12:lle ja sitä uudemmissa versioissa.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • Asenna HTTPS-ohjain, jos sitä ei ole vielä asennettu:

    sudo apt-get install apt-transport-https

  • Päivitä säilön metatiedot:

    sudo apt-get update

Mariner

  • Asenna dnf-plugins-core , jos sitä ei ole vielä asennettu:

    sudo dnf install dnf-plugins-core

  • Vaadittujen säilöjen määrittäminen ja ottaminen käyttöön

    Huomautus

    Marinerissa Insider-kanavan nopea kanava ei ole käytettävissä.

    Jos haluat ottaa Defender for Endpointin käyttöön Linuxissa prod-kanavalta . Käytä seuraavia komentoja

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Tai jos haluat tutustua uusiin ominaisuuksiin valituissa laitteissa, haluat ehkä ottaa Microsoft Defender for Endpoint käyttöön Linuxissa insider-hitaille kanavilla. Käytä seuraavia komentoja:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Sovelluksen asennus

RHEL ja variantit (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ja Alma)

sudo yum install mdatp

Huomautus

Jos laitteessasi on useita Microsoft-säilöjä, voit olla tarkka siitä, mistä säilöstä paketti asennetaan. Seuraavassa esimerkissä näytetään, miten paketti asennetaan kanavasta production , jos sinulla on insiders-fast myös säilökanava määritettynä tässä laitteessa. Näin voi käydä, jos käytät useita Microsoft-tuotteita laitteessasi. Palvelimesi jakelusta ja versiosta riippuen säilön alias voi olla eri kuin seuraavassa esimerkissä.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES ja variantit

sudo zypper install mdatp

Huomautus

Jos laitteessasi on useita Microsoft-säilöjä, voit olla tarkka siitä, mistä säilöstä paketti asennetaan. Seuraavassa esimerkissä näytetään, miten paketti asennetaan kanavasta production , jos sinulla on insiders-fast myös säilökanava määritettynä tässä laitteessa. Näin voi käydä, jos käytät useita Microsoft-tuotteita laitteessasi.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- ja Debian-järjestelmät

sudo apt-get install mdatp

Huomautus

Jos laitteessasi on useita Microsoft-säilöjä, voit olla tarkka siitä, mistä säilöstä paketti asennetaan. Seuraavassa esimerkissä näytetään, miten paketti asennetaan kanavasta production , jos sinulla on insiders-fast myös säilökanava määritettynä tässä laitteessa. Näin voi käydä, jos käytät useita Microsoft-tuotteita laitteessasi.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Huomautus

Uudelleenkäynnistystä EI tarvita Microsoft Defender for Endpoint Linuxissa asentamisen tai päivittämisen jälkeen, paitsi silloin, kun valvonta on käynnissä muuttumattomassa tilassa.

Mariner

sudo dnf install mdatp

Huomautus

Jos laitteessasi on useita Microsoft-säilöjä, voit olla tarkka siitä, mistä säilöstä paketti asennetaan. Seuraavassa esimerkissä näytetään, miten paketti asennetaan kanavasta production , jos sinulla on insiders-slow myös säilökanava määritettynä tässä laitteessa. Näin voi käydä, jos käytät useita Microsoft-tuotteita laitteessasi.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Perehdytyspaketin lataaminen

Lataa perehdytyspaketti Microsoft Defender portaalista.

Varoitus

Defender for Endpoint -asennuspaketin uudelleenpakkaamista ei tueta. Tämä voi vaikuttaa kielteisesti tuotteen eheyteen ja johtaa haitallisiin tuloksiin, mukaan lukien muun muassa peukalointiilmoitusten ja päivitysten epäonnistumiseen.

Tärkeää

Jos et näe tätä vaihetta, suoritettavassa komennossa näkyy varoitussanoma, joka ilmaisee, että tuotteella ei ole käyttöoikeutta. mdatp health Komento palauttaa myös -arvonfalse.

  1. Siirry Microsoft Defender portaalissa kohtaan Asetukset > Päätepisteet > Laitteiden hallinta > Perehdytys.

  2. Valitse ensimmäisestä avattavasta valikosta käyttöjärjestelmäksi Linux Server . Valitse käyttöönottomenetelmäksi paikallinen komentosarja toisesta avattavasta valikosta.

  3. Valitse Lataa perehdytyspaketti. Tallenna tiedosto WindowsDefenderATPOnboardingPackage.zip.

    Perehdytyspaketin lataaminen Microsoft Defender portaalissa

  4. Tarkista komentokehotteesta, että sinulla on tiedosto, ja pura arkiston sisältö:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Asiakasmääritys

  1. Kopioi MicrosoftDefenderATPOnboardingLinuxServer.py kohdelaitteeseen.

    Huomautus

    Aluksi asiakaslaitetta ei ole liitetty organisaatioon ja orgId-määrite on tyhjä.

    mdatp health --field org_id

  2. Suorita MicrosoftDefenderATPOnboardingLinuxServer.py.

    Huomautus

    Tämän komennon suorittaminen edellyttää python , että olet asentanut tai python3 asentanut sen laitteeseen distro- ja version mukaan. Katso tarvittaessa vaiheittaiset ohjeet Pythonin asentamiseen Linuxiin.

    Huomautus

    Jos haluat ottaa käyttöön aiemmin käytöstä poistetun laitteen, sinun on poistettava mdatp_offboard.json tiedosto, joka sijaitsee sijainnissa /etc/opt/microsoft/mdatp.

    Jos käytössäsi on RHEL 8.x tai Ubuntu 20.04 tai uudempi, sinun on käytettävä -python3

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    Jos haluat käyttää muita esittelyjä ja versioita, sinun on käytettävä -python

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Varmista, että laite on nyt liitetty organisaatioosi ja raportoi kelvollisen organisaatiotunnuksen:

    mdatp health --field org_id

  4. Tarkista tuotteen kunto suorittamalla seuraava komento. Palautusarvo true , joka ilmaisee, että tuote toimii odotetulla tavalla:

    mdatp health --field healthy

    Tärkeää

    Kun tuote käynnistyy ensimmäistä kertaa, se lataa uusimmat haittaohjelmien torjuntamääritykset. Tämä voi kestää jopa muutaman minuutin verkkoyhteyden mukaan. Tänä aikana yllä oleva komento palauttaa arvon false. Voit tarkistaa määrityspäivityksen tilan seuraavalla komennolla:

    mdatp health --field definitions_status

    Huomaa, että saatat myös joutua määrittämään välityspalvelimen alkuperäisen asennuksen jälkeen. Lisätietoja staattisen välityspalvelimen etsimisestä on kohdassa Defenderin määrittäminen Linux-päätepisteelle: asennuksen jälkeinen määritys.

  5. Suorita AV-tunnistustesti varmistaaksesi, että laite on oikein otettu käyttöön ja että se raportoi palvelulle. Suorita seuraavat vaiheet juuri perehdytetyssä laitteessa:

    • Varmista, että reaaliaikainen suojaus on käytössä (seuraavan komennon suorittamisen true tuloksena):

      mdatp health --field real_time_protection_enabled

      Jos se ei ole käytössä, suorita seuraava komento:

      mdatp config real-time-protection --value enabled

    • Avaa Pääte-ikkuna ja suorita seuraava komento:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • Defenderin pitää asettaa tiedosto karanteeniin Linux-päätepistettä varten. Luettele kaikki havaitut uhat seuraavan komennon avulla:

      mdatp threat list

  6. Suorita EDR-tunnistustesti ja simuloi tunnistamista varmistaaksesi, että laite on oikein otettu käyttöön, ja raportoi palveluun. Suorita seuraavat vaiheet juuri perehdytetyssä laitteessa:

    • Varmista, että käytössä oleva Linux-palvelin näkyy Microsoft Defender XDR. Jos tämä on koneen ensimmäinen perehdytys, sen ilmestymiseen voi mennä jopa 20 minuuttia.

    • Lataa ja pura komentosarjatiedosto perehdyttämälle Linux-palvelimelle ja suorita seuraava komento: ./mde_linux_edr_diy.sh

    • Muutaman minuutin kuluttua tunnistaminen tulee nostaa Microsoft Defender XDR.

    • Katso ilmoituksen tietoja, koneen aikajanaa ja suorita tyypilliset tutkimusvaiheet.

Ulkoisten pakettien riippuvuuksien Microsoft Defender for Endpoint

Mdatp-paketille on seuraavat ulkoisen paketin riippuvuudet:

  • Mdatp RPM -paketti edellyttää "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
  • RHEL6:lle mdatp RPM -paketti edellyttää "audit", "policycoreutils", "libselinux", "mde-netfilter"
  • DEBIAN-kohteelle mdatp-paketti vaatii "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
  • Marinerille mdatp-paketti edellyttää "attr", "audit", "diffutils", "libacl", "libattr", "libselinux-utils", "selinux-policy", "policycoreutils", "mde-netfilter"

mde-netfilter-paketilla on myös seuraavat pakettiriippuvuudet:

  • DEBIAN:ssä mde-netfilter-paketti edellyttää "libnetfilter-queue1", "libglib2.0-0"
  • RPM:n mde-netfilter-paketti edellyttää "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
  • Marinerille mde-netfilter-paketti vaatii "libnfnetlink", "libnetfilter_queue"

Jos Microsoft Defender for Endpoint asennus epäonnistuu puuttuvien riippuvuusvirheiden vuoksi, voit ladata edellytettävät riippuvuudet manuaalisesti.

Kirjaa asennusongelmat

Lisätietoja asennusohjelman luoman automaattisesti luodun lokin löytämisestä virheen tapahtuessa on kohdassa Kirjaa asennusongelmat .

Siirtyminen Insiders-Fast tuotantokanavalle

  1. Poista Defender for Endpointin "Insiders-Fast channel" -version asennus Linuxissa.

    sudo yum remove mdatp

  2. Defender for Endpointin poistaminen käytöstä Linux-Insiders-Fast säilössä

    sudo yum repolist

    Huomautus

    Tulosteen tulee näyttää "packages-microsoft-com-fast-prod".

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Microsoft Defender for Endpoint Linuxissa uudelleen tuotantokanavan avulla.

Uninstallation

Lisätietoja Defender for Endpointin poistamisesta asiakaslaitteista on kohdassa Asennuksen poistaminen .

Tutustu myös seuraaviin ohjeartikkeleihin:

Vihje

Haluatko tietää lisää? Engage Microsoft security -yhteisön kanssa teknologiayhteisössämme: Microsoft Defender for Endpoint Tech Community.