פריסת Microsoft Defender עבור נקודת קצה ב- Linux באופן ידני
חל על:
- Microsoft Defender עבור תוכנית 1 של נקודת קצה
- Microsoft Defender עבור תוכנית 2 של נקודת קצה
- Microsoft Defender XDR
רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.
עצה
מחפש הדרכה מתקדמת בנושא פריסת Microsoft Defender עבור נקודת קצה ב- Linux? ראה מדריך פריסה מתקדם ב- Defender עבור נקודת קצה ב- Linux.
מאמר זה מתאר כיצד לפרוס Microsoft Defender עבור נקודת קצה ב- Linux באופן ידני. פריסה מוצלחת מחייבת השלמת כל המשימות הבאות:
- דרישות מוקדמות ודרישות מערכת
- קביעת התצורה של מאגר התוכנה של Linux
- התקנת יישום
- הורד את חבילת הצירוף
- תצורת לקוח
דרישות מוקדמות ודרישות מערכת
לפני שתתחיל, ראה Microsoft Defender עבור נקודת קצה ב- Linux לקבלת תיאור של דרישות מוקדמות ודרישות מערכת עבור גירסת התוכנה הנוכחית.
אזהרה
שדרוג מערכת ההפעלה לגירסה ראשית חדשה לאחר התקנת המוצר מחייב התקנה מחדש של המוצר. עליך להסיר את ההתקנה של נקודת הקצה הקיימת של Defender עבור Linux, לשדרג את מערכת ההפעלה ולאחר מכן לקבוע מחדש את התצורה של Defender for Endpoint ב- Linux על-ידי ביצוע השלבים הבאים.
קביעת התצורה של מאגר התוכנה של Linux
ניתן לפרוס את Defender for Endpoint ב- Linux באחד מהערוצים הבאים (המפורטים להלן כ- [channel]): insiders-fast, insiders-slow או prod. כל אחד מהערוצים האלה תואם למאגר תוכנות של Linux. ההוראות במאמר זה מתארות את קביעת התצורה של המכשיר שלך לשימוש באחד מהמאגרים הללו.
בחירת הערוץ קובעת את הסוג והתדירות של עדכונים המוצעים למכשיר שלך. מכשירים ב- Insider-fast הם הראשונים שיקבלו עדכונים ותכונות חדשות, ואחר כך משתתפי Insider-slow ואחרונה על-ידיעדכון.
כדי להציג תכונות חדשות בתצוגה מקדימה ולספק משוב מוקדם, מומלץ להגדיר מכשירים מסוימים בארגון לשימוש ב- Insiders-fast או Insider-slow.
אזהרה
החלפת הערוץ לאחר ההתקנה הראשונית מחייבת התקנה מחדש של המוצר. כדי להחליף את ערוץ המוצר: הסר את ההתקנה של החבילה הקיימת, קבע מחדש את תצורת המכשיר לשימוש בערוץ החדש ובצע את השלבים המפורטים במסמך זה כדי להתקין את החבילה מהמיקום החדש.
קובץ Script של מתקין
על אף שאנו דנים בהתקנה ידנית, לחלופין, באפשרותך להשתמש בקובץ Script אוטומטי של Bash של תוכנית התקנה המסופק במאגר GitHub הציבורי שלנו. קובץ ה- Script מזהה את ההתפלגות והגירסה, מפשט את בחירת המאגר הנכון, מגדיר את המכשיר למשיכה של החבילה העדכנית ביותר ומשלב את שלבי ההתקנה והצירוף של המוצר.
> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel specify the channel from which you want to install. Default: insiders-fast
-i|--install install the product
-r|--remove remove the product
-u|--upgrade upgrade the existing product
-o|--onboard onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req enforce minimum requirements
-w|--clean remove repo from package manager for a specific channel
-v|--version print out script version
-h|--help display help
קרא עוד כאן.
RHEL ומשתנים (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky and Alma)
התקן
yum-utils
אם הוא עדיין לא מותקן:sudo yum install yum-utils
הערה
ההפצה והגירסה שלך, וזהה את הערך הקרוב ביותר (לפי ערך ראשי ולאחר מכן משני) עבורו תחת
https://packages.microsoft.com/config/rhel/
.השתמש בטבלה הבאה כדי להדריך אותך באיתור החבילה:
Distro & version חבילת עבור Alma 8.4 ואילך https://packages.microsoft.com/config/alma/8/prod.repo עבור Alma 9.2 ואילך https://packages.microsoft.com/config/alma/9/prod.repo עבור RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo עבור RHEL/Centos/Oracle 8.0-8.9 https://packages.microsoft.com/config/rhel/8/prod.repo עבור RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo עבור Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo עבור פדורה 33 https://packages.microsoft.com/config/fedora/33/prod.repo עבור פדורה 34 https://packages.microsoft.com/config/fedora/34/prod.repo עבור רוקי 8.7 ואילך https://packages.microsoft.com/config/rocky/8/prod.repo עבור רוקי 9.2 ואילך https://packages.microsoft.com/config/rocky/9/prod.repo בפקודות הבאות, החלף את [version] ו - [channel] במידע שזיהית:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
עצה
השתמש בפקודה hostnamectl כדי לזהות מידע הקשור למערכת, כולל מהדורה [version].
לדוגמה, אם אתה משתמש ב- CentOS 7 וברצונך לפרוס את Defender for Endpoint ב- Linux מערוץ התמיכה:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
לחלופין, אם ברצונך לסייר בתכונות חדשות במכשירים נבחרים, מומלץ לפרוס את Microsoft Defender עבור נקודת קצה ב- Linux לערוץ Insider-fast:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
התקן את המפתח הציבורי של Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES ווריאנטים
הערה
ההפצה והגירסה שלך, וזהה את הערך הקרוב ביותר (לפי ערך ראשי ולאחר מכן משני) עבורו תחת https://packages.microsoft.com/config/sles/
.
בפקודות הבאות, החלף את [distro] ואת [version] במידע שזיהית:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
עצה
השתמש בפקודה SPident כדי לזהות מידע קשור למערכת, כולל מהדורה [version].
לדוגמה, אם אתה משתמש ב- SLES 12 וברצונך לפרוס Microsoft Defender עבור נקודת קצה ב- Linux מערוץ התמיכה:
sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
התקן את המפתח הציבורי של Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
אובונטו ומערכות דויאניות
התקן
curl
אם הוא עדיין לא מותקן:sudo apt-get install curl
התקן
libplist-utils
אם הוא עדיין לא מותקן:sudo apt-get install libplist-utils
הערה
ההפצה והגירסה שלך, וזהה את הערך הקרוב ביותר (לפי ערך ראשי ולאחר מכן משני) עבורו תחת
https://packages.microsoft.com/config/[distro]/
.בפקודה הבאה, החלף את [distro] ואת [version] במידע שזיהית:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
עצה
השתמש בפקודה hostnamectl כדי לזהות מידע הקשור למערכת, כולל מהדורה [version].
לדוגמה, אם אתה משתמש ב- Ubuntu 18.04 וברצונך לפרוס Microsoft Defender עבור נקודת קצה ב- Linux מערוץ התמיכה:
curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
התקן את תצורת המאגר:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
לדוגמה, אם בחרת ערוץ מוצר :
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
התקן את
gpg
החבילה אם היא עדיין לא מותקנת:sudo apt-get install gpg
אם
gpg
האפשרות אינה זמינה, התקן אתgnupg
.sudo apt-get install gnupg
התקן את המפתח הציבורי של Microsoft GPG:
- עבור Debian 11 וגירסאות קודמות, הפעל את הפקודה הבאה.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
עבור דביאן 12 ואילך, הפעל את הפקודה הבאה.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
התקן את מנהל ההתקן של HTTPS אם הוא עדיין לא מותקן:
sudo apt-get install apt-transport-https
עדכן את המטה-נתונים של המאגר:
sudo apt-get update
המלח
התקן
dnf-plugins-core
אם הוא עדיין לא מותקן:sudo dnf install dnf-plugins-core
קביעת תצורה והפעלה של המאגר הנדרש
הערה
ב- Mariner, 'ערוץ Insider מהיר' אינו זמין.
אם ברצונך לפרוס את Defender עבור נקודת קצה ב- Linux מערוץ התמיכה. השתמש בפקודות הבאות
sudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
לחלופין, אם ברצונך לסייר בתכונות חדשות במכשירים נבחרים, מומלץ לפרוס את Microsoft Defender עבור נקודת קצה ב- Linux לערוץ Insider-slow. השתמש בפקודות הבאות:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
התקנת יישום
RHEL וריאציות (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ו- Alma)
sudo yum install mdatp
הערה
אם במכשיר שלך מוגדרים מאגרים מרובים של Microsoft, תוכל להיות ספציפי לגבי המאגר ממנו יש להתקין את החבילה. הדוגמה הבאה מראה כיצד להתקין את production
insiders-fast
החבילה מהערוץ אם גם ערוץ המאגר מוגדר במכשיר זה. מצב זה עשוי להתרחש אם אתה משתמש במוצרי Microsoft מרובים במכשיר שלך. בהתאם להפצה ולגירסה של השרת שלך, כינוי המאגר עשוי להיות שונה מזה שבדוגמה הבאה.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES ווריאנטים
sudo zypper install mdatp
הערה
אם במכשיר שלך מוגדרים מאגרים מרובים של Microsoft, תוכל להיות ספציפי לגבי המאגר ממנו יש להתקין את החבילה. הדוגמה הבאה מראה כיצד להתקין את production
insiders-fast
החבילה מהערוץ אם גם ערוץ המאגר מוגדר במכשיר זה. מצב זה עשוי להתרחש אם אתה משתמש במוצרי Microsoft מרובים במכשיר שלך.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
אובונטו ומערכות דויאניות
sudo apt-get install mdatp
הערה
אם במכשיר שלך מוגדרים מאגרים מרובים של Microsoft, תוכל להיות ספציפי לגבי המאגר ממנו יש להתקין את החבילה. הדוגמה הבאה מראה כיצד להתקין את production
insiders-fast
החבילה מהערוץ אם גם ערוץ המאגר מוגדר במכשיר זה. מצב זה עשוי להתרחש אם אתה משתמש במוצרי Microsoft מרובים במכשיר שלך.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
הערה
אתחולים מחדש אינם נדרשים לאחר התקנה או עדכון של Microsoft Defender עבור נקודת קצה ב- Linux למעט כאשר אתה מפעיל ביקורת במצב לא ניתן להשתקה.
המלח
sudo dnf install mdatp
הערה
אם במכשיר שלך מוגדרים מאגרים מרובים של Microsoft, תוכל להיות ספציפי לגבי המאגר ממנו יש להתקין את החבילה. הדוגמה הבאה מראה כיצד להתקין את production
insiders-slow
החבילה מהערוץ אם גם ערוץ המאגר מוגדר במכשיר זה. מצב זה עשוי להתרחש אם אתה משתמש במוצרי Microsoft מרובים במכשיר שלך.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
הורד את חבילת הצירוף
הורד את חבילת הצירוף מהפורטל Microsoft Defender שלך.
אזהרה
אריזה מחדש של חבילת ההתקנה של Defender for Endpoint אינה תרחיש נתמך. פעולה זו יכולה להשפיע לרעה על תקינות המוצר ולהוביל לתוצאות שליליות, כולל אך לא מוגבל להפעלת התראות שלא כדין ועדכונים שאינם חלים.
חשוב
אם תחמיץ שלב זה, כל פקודה שתבצע תציג הודעת אזהרה המציינת כי המוצר אינו מורשה. בנוסף, mdatp health
הפקודה מחזירה ערך של false
.
בפורטל Microsoft Defender, עבור אל הגדרות > נקודות קצה ניהול > מכשירים > צירוף.
בתפריט הנפתח הראשון, בחר שרת Linux כמערכת ההפעלה. בתפריט הנפתח השני, בחר קובץ Script מקומי כשיעולת הפריסה.
בחר הורד חבילת צירוף. שמור את הקובץ WindowsDefenderATPOnboardingPackage.zip.
משורת פקודה, ודא שהקובץ נמצא ברשותך וחלץ את תוכן הארכיון:
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
תצורת לקוח
העתק MicrosoftDefenderATPOnboardingLinuxServer.py להתקן היעד.
הערה
בתחילה התקן הלקוח אינו משויך לארגון והתכונה orgId ריקה.
mdatp health --field org_id
הפעל את MicrosoftDefenderATPOnboardingLinuxServer.py.
הערה
כדי להפעיל פקודה זו, עליך להתקין
python
אוpython3
להתקין אותו במכשיר בהתאם לה distro ו- version. במידת הצורך, ראה הוראות מפורטות להתקנת Python ב- Linux.הערה
כדי לצרף מכשיר שהיה קודם לכן הסרה, עליך להסיר את mdatp_offboard.json הממוקם בכתובת /etc/opt/microsoft/mdatp.
אם אתה משתמש ב- RHEL 8.x או ב- Ubuntu 20.04 ואילך, עליך להשתמש ב-
python3
.sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
עבור שאר הה distros ו- versions, עליך להשתמש ב-
python
.sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
ודא שהמכשיר משויך כעת לארגון שלך ודוחות על מזהה ארגון חוקי:
mdatp health --field org_id
בדוק את מצב התקינות של המוצר על-ידי הפעלת הפקודה הבאה. ערך החזרה
true
של מציין כי המוצר פועל כצפוי:mdatp health --field healthy
חשוב
כאשר המוצר מתחיל בפעם הראשונה, הוא מוריד את ההגדרות העדכניות ביותר למניעת תוכנות זדוניות. פעולה זו עשויה להימשך עד כמה דקות בהתאם לקישוריות הרשת. במהלך פרק זמן זה, הפקודה לעיל מחזירה ערך של
false
. באפשרותך לבדוק את מצב עדכון ההגדרה באמצעות הפקודה הבאה:mdatp health --field definitions_status
שים לב שייתכן שתצטרך גם לקבוע תצורה של Proxy לאחר השלמת ההתקנה הראשונית. ראה קביעת תצורה של Defender עבור נקודת קצה ב- Linux לגילוי Proxy סטטי: תצורת לאחר ההתקנה.
הפעל בדיקת זיהוי AV כדי לוודא שהמכשיר מחובר כראוי ומדווח לשירות. בצע את השלבים הבאים במכשיר החדש שצירוף:
ודא שהגנה בזמן אמת זמינה (צוין כתוצאה מהפעלת
true
הפקודה הבאה):mdatp health --field real_time_protection_enabled
אם היא אינה זמינה, בצע את הפקודה הבאה:
mdatp config real-time-protection --value enabled
פתח חלון מסוף ובצע את הפקודה הבאה כדי להפעיל בדיקת זיהוי:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
באפשרותך להפעיל בדיקות זיהוי נוספות על קבצי zip באמצעות אחת מהפקודות הבאות:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
יש להעביר את הקבצים להסגר על-ידי Defender for Endpoint ב- Linux. השתמש בפקודה הבאה כדי להציג רשימה של כל האיומים שזוהו:
mdatp threat list
הפעל בדיקת זיהוי של EDR ודמות זיהוי כדי לוודא שהמכשיר מחובר כראוי ומדווח לשירות. בצע את השלבים הבאים במכשיר החדש שצירוף:
ודא שהשרת הרשום של Linux מופיע Microsoft Defender XDR. אם זוהי הצירוף הראשון של המחשב, ייתכן שיחלפו עד 20 דקות עד שהוא יופיע.
הורד וחלץ את קובץ ה- Script לשרת Linux צירוף והפעל את הפקודה הבאה:
./mde_linux_edr_diy.sh
לאחר כמה דקות, זיהוי אמור להיות מופעל Microsoft Defender XDR.
עיין בפרטי ההתראה, בציר הזמן של המחשב ובצע את שלבי החקירה האופייניים שלך.
Microsoft Defender עבור נקודת קצה תלות בחבילה חיצונית של חבילה
יחסי התלות הבאים של החבילה החיצונית קיימים עבור חבילת mdatp:
- חבילת mdatp RPM דורשת "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
- עבור RHEL6, חבילת Mdatp RPM דורשת "audit", "policycoreutils", "libselinux", "mde-netfilter"
- עבור DEBIAN, חבילת mdatp דורשת "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
- עבור Mariner, חבילת mdatp דורשת "attr", "audit", "diffutils", "libacl", "libattr", "libselinux-utils", "selinux-policy", "policycoreutils", "mde-netfilter"
חבילת mde-netfilter כוללת גם את יחסי התלות הבאים של החבילה:
- עבור DEBIAN, חבילת mde-netfilter דורשת "libnetfilter-queue1", "libglib2.0-0"
- עבור RPM, חבילת mde-netfilter דורשת "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
- עבור Mariner, חבילת mde-netfilter דורשת "libnfnetlink", "libnetfilter_queue"
אם ההתקנה Microsoft Defender עבור נקודת קצה נכשלת עקב שגיאות של יחסי תלות חסרים, באפשרותך להוריד באופן ידני את יחסי התלות המהווים דרישה מוקדמת.
בעיות בהתקנת יומן רישום
ראה בעיות בהתקנת יומן רישום לקבלת מידע נוסף על האופן שבו ניתן למצוא את יומן הרישום שנוצר באופן אוטומטי שנוצר על-ידי המתקין כאשר מתרחשת שגיאה.
כיצד לעבור מערוץ Insiders-Fast לערוץ ייצור
הסר את ההתקנה של גירסת "ערוץ Insiders-Fast" של Defender עבור נקודת קצה ב- Linux.
sudo yum remove mdatp
השבת את Defender for Endpoint ב- Linux Insiders-Fast repo
sudo yum repolist
הערה
הפלט אמור להציג "packages-microsoft-com-fast-prod".
sudo yum-config-manager --disable packages-microsoft-com-fast-prod
לפרוס מחדש Microsoft Defender עבור נקודת קצה על Linux באמצעות "ערוץ הייצור".
הסרת ההתקנה
ראה הסרת התקנה לקבלת פרטים על הסרת נקודת קצה של Defender עבור Linux מהתקני לקוח.
למידע נוסף
עצה
האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור