Déployer Microsoft Defender pour point de terminaison manuellement sur Linux

  • Article

S’applique à :

Vous voulez découvrir Defender pour point de terminaison ? Inscrivez-vous pour bénéficier d’un essai gratuit.

Conseil

Vous recherchez des conseils avancés sur le déploiement de Microsoft Defender pour point de terminaison sur Linux ? Consultez le Guide de déploiement avancé sur Defender pour point de terminaison sur Linux.

Cet article explique comment déployer manuellement Microsoft Defender pour point de terminaison sur Linux. Un déploiement réussi nécessite l’exécution de toutes les tâches suivantes :

Conditions préalables et configuration système requise

Avant de commencer, consultez Microsoft Defender pour point de terminaison sur Linux pour obtenir une description des prérequis et de la configuration système requise pour la version actuelle du logiciel.

Avertissement

La mise à niveau de votre système d’exploitation vers une nouvelle version majeure après l’installation du produit nécessite la réinstallation du produit. Vous devez désinstaller defender pour point de terminaison existant sur Linux, mettre à niveau le système d’exploitation, puis reconfigurer Defender pour point de terminaison sur Linux en suivant les étapes ci-dessous.

Configurer le référentiel de logiciels Linux

Defender pour point de terminaison sur Linux peut être déployé à partir de l’un des canaux suivants (désigné ci-dessous comme [canal]) : insiders-fast, insiders-slow ou prod. Chacun de ces canaux correspond à un référentiel de logiciels Linux. Les instructions de cet article décrivent la configuration de votre appareil pour utiliser l’un de ces référentiels.

Le choix du canal détermine le type et la fréquence des mises à jour proposées à votre appareil. Les appareils dans insiders-fast sont les premiers à recevoir des mises à jour et de nouvelles fonctionnalités, suivis ultérieurement par les insiders - lents et enfin par prod.

Pour afficher un aperçu des nouvelles fonctionnalités et fournir des commentaires précoces, il est recommandé de configurer certains appareils de votre entreprise pour qu’ils utilisent des insiders rapides ou des insiders lents.

Avertissement

Le basculement du canal après l’installation initiale nécessite la réinstallation du produit. Pour changer de canal de produit : désinstallez le package existant, reconfigurez votre appareil pour utiliser le nouveau canal et suivez les étapes décrites dans ce document pour installer le package à partir du nouvel emplacement.

Script du programme d’installation

Bien que nous discutions de l’installation manuelle, vous pouvez également utiliser un script bash de programme d’installation automatisé fourni dans notre dépôt GitHub public. Le script identifie la distribution et la version, simplifie la sélection du référentiel approprié, configure l’appareil pour extraire le package le plus récent et combine les étapes d’installation et d’intégration du produit.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

En savoir plus ici.

RHEL et variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky et Alma)

SLES et variantes

Remarque

Votre distribution et votre version, et identifiez l’entrée la plus proche (par majeure, puis mineure) sous https://packages.microsoft.com/config/sles/.

Dans les commandes suivantes, remplacez [distribution] et [version] par les informations que vous avez identifiées :

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Conseil

Utilisez la commande SPident pour identifier les informations relatives au système, notamment la version [version].

Par exemple, si vous exécutez SLES 12 et que vous souhaitez déployer Microsoft Defender pour point de terminaison sur Linux à partir du canal prod :

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • Installez la clé publique Microsoft GPG :

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Systèmes Ubuntu et Debian

  • Installez curl s’il n’est pas encore installé :

    sudo apt-get install curl

  • Installez libplist-utils s’il n’est pas encore installé :

    sudo apt-get install libplist-utils

    Remarque

    Votre distribution et votre version, et identifiez l’entrée la plus proche (par majeure, puis mineure) sous https://packages.microsoft.com/config/[distro]/.

    Dans la commande suivante, remplacez [distribution] et [version] par les informations que vous avez identifiées :

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Conseil

    Utilisez la commande hostnamectl pour identifier les informations relatives au système, notamment la version [version].

    Par exemple, si vous exécutez Ubuntu 18.04 et que vous souhaitez déployer Microsoft Defender pour point de terminaison sur Linux à partir du canal prod :

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • Installez la configuration du dépôt :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Par exemple, si vous avez choisi le canal prod :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • Installez le gpg package s’il n’est pas déjà installé :

    sudo apt-get install gpg

    Si gpg n’est pas disponible, installez gnupg.

    sudo apt-get install gnupg

  • Installez la clé publique Microsoft GPG :

    • Pour Debian 11 et versions antérieures, exécutez la commande suivante.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

Pour Debian 12 et versions ultérieures, exécutez la commande suivante.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • Installez le pilote HTTPS s’il n’est pas déjà installé :

    sudo apt-get install apt-transport-https

  • Mettez à jour les métadonnées du dépôt :

    sudo apt-get update

Mariner

  • Installez dnf-plugins-core s’il n’est pas encore installé :

    sudo dnf install dnf-plugins-core

  • Configurer et activer les dépôts requis

    Remarque

    Sur Mariner, Insider Fast Channel n’est pas disponible.

    Si vous souhaitez déployer Defender pour point de terminaison sur Linux à partir du canal prod . Utilisez les commandes suivantes

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Ou si vous souhaitez explorer de nouvelles fonctionnalités sur des appareils sélectionnés, vous pouvez déployer Microsoft Defender pour point de terminaison sur Linux sur le canal insiders-slow. Utilisez les commandes suivantes :

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Installation d’application

RHEL et variantes (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky et Alma)

sudo yum install mdatp

Remarque

Si vous avez plusieurs référentiels Microsoft configurés sur votre appareil, vous pouvez être précis sur le dépôt à partir duquel installer le package. L’exemple suivant montre comment installer le package à partir du production canal si le canal de insiders-fast dépôt est également configuré sur cet appareil. Cette situation peut se produire si vous utilisez plusieurs produits Microsoft sur votre appareil. Selon la distribution et la version de votre serveur, l’alias de dépôt peut être différent de celui de l’exemple suivant.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES et variantes

sudo zypper install mdatp

Remarque

Si vous avez plusieurs référentiels Microsoft configurés sur votre appareil, vous pouvez être précis sur le dépôt à partir duquel installer le package. L’exemple suivant montre comment installer le package à partir du production canal si le canal de insiders-fast dépôt est également configuré sur cet appareil. Cette situation peut se produire si vous utilisez plusieurs produits Microsoft sur votre appareil.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Systèmes Ubuntu et Debian

sudo apt-get install mdatp

Remarque

Si vous avez plusieurs référentiels Microsoft configurés sur votre appareil, vous pouvez être précis sur le dépôt à partir duquel installer le package. L’exemple suivant montre comment installer le package à partir du production canal si le canal de insiders-fast dépôt est également configuré sur cet appareil. Cette situation peut se produire si vous utilisez plusieurs produits Microsoft sur votre appareil.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Remarque

Les redémarrages ne sont PAS nécessaires après l’installation ou la mise à jour de Microsoft Defender pour point de terminaison sur Linux, sauf lorsque vous exécutez auditD en mode immuable.

Mariner

sudo dnf install mdatp

Remarque

Si vous avez plusieurs référentiels Microsoft configurés sur votre appareil, vous pouvez être précis sur le dépôt à partir duquel installer le package. L’exemple suivant montre comment installer le package à partir du production canal si le canal de insiders-slow dépôt est également configuré sur cet appareil. Cette situation peut se produire si vous utilisez plusieurs produits Microsoft sur votre appareil.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Télécharger le package d’intégration

Téléchargez le package d’intégration à partir de Microsoft Defender portail.

Avertissement

Le repackaging du package d’installation de Defender pour point de terminaison n’est pas un scénario pris en charge. Cela peut avoir un impact négatif sur l’intégrité du produit et entraîner des résultats négatifs, y compris, mais sans s’y limiter, le déclenchement d’alertes de falsification et l’échec de l’application des mises à jour.

Importante

Si vous manquez cette étape, toute commande exécutée affiche un message d’avertissement indiquant que le produit n’a pas de licence. mdatp health La commande retourne également une valeur de false.

  1. Dans le portail Microsoft Defender, accédez à Paramètres Points > de terminaison > Gestion des > appareils Intégration.

  2. Dans le premier menu déroulant, sélectionnez Serveur Linux comme système d’exploitation. Dans le deuxième menu déroulant, sélectionnez Script local comme méthode de déploiement.

  3. Sélectionnez Télécharger le package d’intégration. Enregistrez le fichier en tant que WindowsDefenderATPOnboardingPackage.zip.

    Téléchargement d’un package d’intégration dans le portail Microsoft Defender

  4. À partir d’une invite de commandes, vérifiez que vous disposez du fichier et extrayez le contenu de l’archive :

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Configuration du client

  1. Copiez MicrosoftDefenderATPOnboardingLinuxServer.py sur l’appareil cible.

    Remarque

    Initialement, l’appareil client n’est pas associé à un organization et l’attribut orgId est vide.

    mdatp health --field org_id

  2. Exécutez MicrosoftDefenderATPOnboardingLinuxServer.py.

    Remarque

    Pour exécuter cette commande, vous devez avoir python installé ou python3 sur l’appareil en fonction de la distribution et de la version. Si nécessaire, consultez Instructions pas à pas pour l’installation de Python sur Linux.

    Remarque

    Pour intégrer un appareil précédemment désactivé, vous devez supprimer le fichier mdatp_offboard.json situé dans /etc/opt/microsoft/mdatp.

    Si vous exécutez RHEL 8.x ou Ubuntu 20.04 ou version ultérieure, vous devez utiliser python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    Pour le reste des distributions et versions, vous devez utiliser python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Vérifiez que l’appareil est maintenant associé à votre organization et signale un identificateur de organization valide :

    mdatp health --field org_id

  4. Vérifiez l’status d’intégrité du produit en exécutant la commande suivante. Une valeur de retour de true indique que le produit fonctionne comme prévu :

    mdatp health --field healthy

    Importante

    Lorsque le produit démarre pour la première fois, il télécharge les dernières définitions de logiciel anti-programme malveillant. Cela peut prendre jusqu’à quelques minutes en fonction de la connectivité réseau. Pendant ce temps, la commande ci-dessus retourne une valeur de false. Vous pouvez case activée la status de la mise à jour de définition à l’aide de la commande suivante :

    mdatp health --field definitions_status

    Notez que vous devrez peut-être également configurer un proxy après l’installation initiale. Consultez Configurer Defender pour point de terminaison sur Linux pour la découverte de proxy statique : configuration post-installation.

  5. Exécutez un test de détection av pour vérifier que l’appareil est correctement intégré et qu’il signale au service. Effectuez les étapes suivantes sur l’appareil nouvellement intégré :

    • Assurez-vous que la protection en temps réel est activée (indiqué par le résultat de l’exécution de true la commande suivante) :

      mdatp health --field real_time_protection_enabled

      S’il n’est pas activé, exécutez la commande suivante :

      mdatp config real-time-protection --value enabled

    • Ouvrez une fenêtre Terminal et exécutez la commande suivante :

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • Le fichier doit être mis en quarantaine par Defender pour point de terminaison sur Linux. Utilisez la commande suivante pour répertorier toutes les menaces détectées :

      mdatp threat list

  6. Exécutez un test de détection EDR et simulez une détection pour vérifier que l’appareil est correctement intégré et qu’il signale au service. Effectuez les étapes suivantes sur l’appareil nouvellement intégré :

    • Vérifiez que le serveur Linux intégré apparaît dans Microsoft Defender XDR. S’il s’agit de la première intégration de la machine, l’affichage peut prendre jusqu’à 20 minutes.

    • Téléchargez et extrayez le fichier de script sur un serveur Linux intégré, puis exécutez la commande suivante : ./mde_linux_edr_diy.sh

    • Après quelques minutes, une détection doit être déclenchée dans Microsoft Defender XDR.

    • Examinez les détails de l’alerte, chronologie machine et effectuez vos étapes d’investigation classiques.

dépendances de package externe de package Microsoft Defender pour point de terminaison

Les dépendances de package externes suivantes existent pour le package mdatp :

  • Le package rpm mdatp nécessite « glibc >= 2.17 », « audit », « policycoreutils », « semanage » « selinux-policy-targeted », « mde-netfilter »
  • Pour RHEL6, le package RPM mdatp nécessite « audit », « policycoreutils », « libselinux », « mde-netfilter »
  • Pour DEBIAN, le package mdatp nécessite « libc6 >= 2.23 », « uuid-runtime », « auditd », « mde-netfilter »
  • Pour Mariner, le package mdatp nécessite « attr », « audit », « diffutils », « libacl », « libattr », « libselinux-utils », « selinux-policy », « policycoreutils », « mde-netfilter »

Le package mde-netfilter a également les dépendances de package suivantes :

  • Pour DEBIAN, le package mde-netfilter nécessite « libnetfilter-queue1 », « libglib2.0-0 »
  • Pour RPM, le package mde-netfilter nécessite « libmnl », « libnfnetlink », « libnetfilter_queue », « glib2 »
  • Pour Mariner, le package mde-netfilter nécessite « libnfnetlink », « libnetfilter_queue »

Si l’installation Microsoft Defender pour point de terminaison échoue en raison d’erreurs de dépendances manquantes, vous pouvez télécharger manuellement les dépendances requises.

Problèmes d’installation des journaux

Consultez Problèmes d’installation des journaux pour plus d’informations sur la recherche du journal généré automatiquement par le programme d’installation lorsqu’une erreur se produit.

Comment migrer du canal Insiders-Fast vers le canal de production

  1. Désinstallez la version « Canal Insiders-Fast » de Defender pour point de terminaison sur Linux.

    sudo yum remove mdatp

  2. Désactiver le référentiel Defender pour point de terminaison sur Linux Insiders-Fast

    sudo yum repolist

    Remarque

    La sortie doit afficher « packages-microsoft-com-fast-prod ».

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Redéployez Microsoft Defender pour point de terminaison sur Linux à l’aide du « canal de production ».

Désinstallation

Pour plus d’informations sur la suppression de Defender pour point de terminaison sur Linux des appareils clients, consultez Désinstaller .

Voir aussi

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender pour point de terminaison Tech Community.