שתף באמצעות

פריסת Microsoft Defender עבור נקודת קצה ב- Linux באופן ידני

  • מאמר

חל על:

רוצה לחוות את Defender עבור נקודת קצה? הירשם לקבלת גירסת ניסיון ללא תשלום.

עצה

מחפש הדרכה מתקדמת בנושא פריסת Microsoft Defender עבור נקודת קצה ב- Linux? ראה מדריך פריסה מתקדם ב- Defender עבור נקודת קצה ב- Linux.

מאמר זה מתאר כיצד לפרוס Microsoft Defender עבור נקודת קצה ב- Linux באופן ידני. פריסה מוצלחת מחייבת השלמת כל המשימות הבאות:

דרישות מוקדמות ודרישות מערכת

לפני שתתחיל, ראה Microsoft Defender עבור נקודת קצה ב- Linux לקבלת תיאור של דרישות מוקדמות ודרישות מערכת עבור גירסת התוכנה הנוכחית.

אזהרה

שדרוג מערכת ההפעלה לגירסה ראשית חדשה לאחר התקנת המוצר מחייב התקנה מחדש של המוצר. עליך להסיר את ההתקנה של נקודת הקצה הקיימת של Defender עבור Linux, לשדרג את מערכת ההפעלה ולאחר מכן לקבוע מחדש את התצורה של Defender for Endpoint ב- Linux על-ידי ביצוע השלבים הבאים.

קביעת התצורה של מאגר התוכנה של Linux

ניתן לפרוס את Defender for Endpoint ב- Linux באחד מהערוצים הבאים (המפורטים להלן כ- [channel]): insiders-fast, insiders-slow או prod. כל אחד מהערוצים האלה תואם למאגר תוכנות של Linux. ההוראות במאמר זה מתארות את קביעת התצורה של המכשיר שלך לשימוש באחד מהמאגרים הללו.

בחירת הערוץ קובעת את הסוג והתדירות של עדכונים המוצעים למכשיר שלך. מכשירים ב- Insider-fast הם הראשונים שיקבלו עדכונים ותכונות חדשות, ואחר כך משתתפי Insider-slow ואחרונה על-ידיעדכון.

כדי להציג תכונות חדשות בתצוגה מקדימה ולספק משוב מוקדם, מומלץ להגדיר מכשירים מסוימים בארגון לשימוש ב- Insiders-fast או Insider-slow.

אזהרה

החלפת הערוץ לאחר ההתקנה הראשונית מחייבת התקנה מחדש של המוצר. כדי להחליף את ערוץ המוצר: הסר את ההתקנה של החבילה הקיימת, קבע מחדש את תצורת המכשיר לשימוש בערוץ החדש ובצע את השלבים המפורטים במסמך זה כדי להתקין את החבילה מהמיקום החדש.

קובץ Script של מתקין

על אף שאנו דנים בהתקנה ידנית, לחלופין, באפשרותך להשתמש בקובץ Script אוטומטי של Bash של תוכנית התקנה המסופק במאגר GitHub הציבורי שלנו. קובץ ה- Script מזהה את ההתפלגות והגירסה, מפשט את בחירת המאגר הנכון, מגדיר את המכשיר למשיכה של החבילה העדכנית ביותר ומשלב את שלבי ההתקנה והצירוף של המוצר.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

קרא עוד כאן.

RHEL ומשתנים (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky and Alma)

SLES ווריאנטים

הערה

ההפצה והגירסה שלך, וזהה את הערך הקרוב ביותר (לפי ערך ראשי ולאחר מכן משני) עבורו תחת https://packages.microsoft.com/config/sles/.

בפקודות הבאות, החלף את [distro] ואת [version] במידע שזיהית:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

עצה

השתמש בפקודה SPident כדי לזהות מידע קשור למערכת, כולל מהדורה [version].

לדוגמה, אם אתה משתמש ב- SLES 12 וברצונך לפרוס Microsoft Defender עבור נקודת קצה ב- Linux מערוץ התמיכה:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • התקן את המפתח הציבורי של Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

אובונטו ומערכות דויאניות

  • התקן curl אם הוא עדיין לא מותקן:

    sudo apt-get install curl

  • התקן libplist-utils אם הוא עדיין לא מותקן:

    sudo apt-get install libplist-utils

    הערה

    ההפצה והגירסה שלך, וזהה את הערך הקרוב ביותר (לפי ערך ראשי ולאחר מכן משני) עבורו תחת https://packages.microsoft.com/config/[distro]/.

    בפקודה הבאה, החלף את [distro] ואת [version] במידע שזיהית:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    עצה

    השתמש בפקודה hostnamectl כדי לזהות מידע הקשור למערכת, כולל מהדורה [version].

    לדוגמה, אם אתה משתמש ב- Ubuntu 18.04 וברצונך לפרוס Microsoft Defender עבור נקודת קצה ב- Linux מערוץ התמיכה:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • התקן את תצורת המאגר:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    לדוגמה, אם בחרת ערוץ מוצר :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • התקן את gpg החבילה אם היא עדיין לא מותקנת:

    sudo apt-get install gpg

    אם gpg האפשרות אינה זמינה, התקן את gnupg.

    sudo apt-get install gnupg

  • התקן את המפתח הציבורי של Microsoft GPG:

    • עבור Debian 11 וגירסאות קודמות, הפעל את הפקודה הבאה.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

עבור דביאן 12 ואילך, הפעל את הפקודה הבאה.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • התקן את מנהל ההתקן של HTTPS אם הוא עדיין לא מותקן:

    sudo apt-get install apt-transport-https

  • עדכן את המטה-נתונים של המאגר:

    sudo apt-get update

המלח

  • התקן dnf-plugins-core אם הוא עדיין לא מותקן:

    sudo dnf install dnf-plugins-core

  • קביעת תצורה והפעלה של המאגר הנדרש

    הערה

    ב- Mariner, 'ערוץ Insider מהיר' אינו זמין.

    אם ברצונך לפרוס את Defender עבור נקודת קצה ב- Linux מערוץ התמיכה. השתמש בפקודות הבאות

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    לחלופין, אם ברצונך לסייר בתכונות חדשות במכשירים נבחרים, מומלץ לפרוס את Microsoft Defender עבור נקודת קצה ב- Linux לערוץ Insider-slow. השתמש בפקודות הבאות:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

התקנת יישום

RHEL וריאציות (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky ו- Alma)

sudo yum install mdatp

הערה

אם במכשיר שלך מוגדרים מאגרים מרובים של Microsoft, תוכל להיות ספציפי לגבי המאגר ממנו יש להתקין את החבילה. הדוגמה הבאה מראה כיצד להתקין את productioninsiders-fast החבילה מהערוץ אם גם ערוץ המאגר מוגדר במכשיר זה. מצב זה עשוי להתרחש אם אתה משתמש במוצרי Microsoft מרובים במכשיר שלך. בהתאם להפצה ולגירסה של השרת שלך, כינוי המאגר עשוי להיות שונה מזה שבדוגמה הבאה.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES ווריאנטים

sudo zypper install mdatp

הערה

אם במכשיר שלך מוגדרים מאגרים מרובים של Microsoft, תוכל להיות ספציפי לגבי המאגר ממנו יש להתקין את החבילה. הדוגמה הבאה מראה כיצד להתקין את productioninsiders-fast החבילה מהערוץ אם גם ערוץ המאגר מוגדר במכשיר זה. מצב זה עשוי להתרחש אם אתה משתמש במוצרי Microsoft מרובים במכשיר שלך.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

אובונטו ומערכות דויאניות

sudo apt-get install mdatp

הערה

אם במכשיר שלך מוגדרים מאגרים מרובים של Microsoft, תוכל להיות ספציפי לגבי המאגר ממנו יש להתקין את החבילה. הדוגמה הבאה מראה כיצד להתקין את productioninsiders-fast החבילה מהערוץ אם גם ערוץ המאגר מוגדר במכשיר זה. מצב זה עשוי להתרחש אם אתה משתמש במוצרי Microsoft מרובים במכשיר שלך.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

הערה

אתחולים מחדש אינם נדרשים לאחר התקנה או עדכון של Microsoft Defender עבור נקודת קצה ב- Linux למעט כאשר אתה מפעיל ביקורת במצב לא ניתן להשתקה.

המלח

sudo dnf install mdatp

הערה

אם במכשיר שלך מוגדרים מאגרים מרובים של Microsoft, תוכל להיות ספציפי לגבי המאגר ממנו יש להתקין את החבילה. הדוגמה הבאה מראה כיצד להתקין את productioninsiders-slow החבילה מהערוץ אם גם ערוץ המאגר מוגדר במכשיר זה. מצב זה עשוי להתרחש אם אתה משתמש במוצרי Microsoft מרובים במכשיר שלך.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

הורד את חבילת הצירוף

הורד את חבילת הצירוף מהפורטל Microsoft Defender שלך.

אזהרה

אריזה מחדש של חבילת ההתקנה של Defender for Endpoint אינה תרחיש נתמך. פעולה זו יכולה להשפיע לרעה על תקינות המוצר ולהוביל לתוצאות שליליות, כולל אך לא מוגבל להפעלת התראות שלא כדין ועדכונים שאינם חלים.

חשוב

אם תחמיץ שלב זה, כל פקודה שתבצע תציג הודעת אזהרה המציינת כי המוצר אינו מורשה. בנוסף, mdatp health הפקודה מחזירה ערך של false.

  1. בפורטל Microsoft Defender, עבור אל הגדרות > נקודות קצה ניהול > מכשירים > צירוף.

  2. בתפריט הנפתח הראשון, בחר שרת Linux כמערכת ההפעלה. בתפריט הנפתח השני, בחר קובץ Script מקומי כשיעולת הפריסה.

  3. בחר הורד חבילת צירוף. שמור את הקובץ WindowsDefenderATPOnboardingPackage.zip.

    הורדת חבילת צירוף בפורטל Microsoft Defender שלך

  4. משורת פקודה, ודא שהקובץ נמצא ברשותך וחלץ את תוכן הארכיון:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

תצורת לקוח

  1. העתק MicrosoftDefenderATPOnboardingLinuxServer.py להתקן היעד.

    הערה

    בתחילה התקן הלקוח אינו משויך לארגון והתכונה orgId ריקה.

    mdatp health --field org_id

  2. הפעל את MicrosoftDefenderATPOnboardingLinuxServer.py.

    הערה

    כדי להפעיל פקודה זו, עליך להתקין python או python3 להתקין אותו במכשיר בהתאם לה distro ו- version. במידת הצורך, ראה הוראות מפורטות להתקנת Python ב- Linux.

    הערה

    כדי לצרף מכשיר שהיה קודם לכן הסרה, עליך להסיר את mdatp_offboard.json הממוקם בכתובת /etc/opt/microsoft/mdatp.

    אם אתה משתמש ב- RHEL 8.x או ב- Ubuntu 20.04 ואילך, עליך להשתמש ב- python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    עבור שאר הה distros ו- versions, עליך להשתמש ב- python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. ודא שהמכשיר משויך כעת לארגון שלך ודוחות על מזהה ארגון חוקי:

    mdatp health --field org_id

  4. בדוק את מצב התקינות של המוצר על-ידי הפעלת הפקודה הבאה. ערך החזרה true של מציין כי המוצר פועל כצפוי:

    mdatp health --field healthy

    חשוב

    כאשר המוצר מתחיל בפעם הראשונה, הוא מוריד את ההגדרות העדכניות ביותר למניעת תוכנות זדוניות. פעולה זו עשויה להימשך עד כמה דקות בהתאם לקישוריות הרשת. במהלך פרק זמן זה, הפקודה לעיל מחזירה ערך של false. באפשרותך לבדוק את מצב עדכון ההגדרה באמצעות הפקודה הבאה:

    mdatp health --field definitions_status

    שים לב שייתכן שתצטרך גם לקבוע תצורה של Proxy לאחר השלמת ההתקנה הראשונית. ראה קביעת תצורה של Defender עבור נקודת קצה ב- Linux לגילוי Proxy סטטי: תצורת לאחר ההתקנה.

  5. הפעל בדיקת זיהוי AV כדי לוודא שהמכשיר מחובר כראוי ומדווח לשירות. בצע את השלבים הבאים במכשיר החדש שצירוף:

    • ודא שהגנה בזמן אמת זמינה (צוין כתוצאה מהפעלת true הפקודה הבאה):

      mdatp health --field real_time_protection_enabled

      אם היא אינה זמינה, בצע את הפקודה הבאה:

      mdatp config real-time-protection --value enabled

    • פתח חלון מסוף ובצע את הפקודה הבאה כדי להפעיל בדיקת זיהוי:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • באפשרותך להפעיל בדיקות זיהוי נוספות על קבצי zip באמצעות אחת מהפקודות הבאות:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    • יש להעביר את הקבצים להסגר על-ידי Defender for Endpoint ב- Linux. השתמש בפקודה הבאה כדי להציג רשימה של כל האיומים שזוהו:

      mdatp threat list

  6. הפעל בדיקת זיהוי של EDR ודמות זיהוי כדי לוודא שהמכשיר מחובר כראוי ומדווח לשירות. בצע את השלבים הבאים במכשיר החדש שצירוף:

  • ודא שהשרת הרשום של Linux מופיע Microsoft Defender XDR. אם זוהי הצירוף הראשון של המחשב, ייתכן שיחלפו עד 20 דקות עד שהוא יופיע.

    • הורד וחלץ את קובץ ה- Script לשרת Linux צירוף והפעל את הפקודה הבאה: ./mde_linux_edr_diy.sh

    • לאחר כמה דקות, זיהוי אמור להיות מופעל Microsoft Defender XDR.

    • עיין בפרטי ההתראה, בציר הזמן של המחשב ובצע את שלבי החקירה האופייניים שלך.

Microsoft Defender עבור נקודת קצה תלות בחבילה חיצונית של חבילה

יחסי התלות הבאים של החבילה החיצונית קיימים עבור חבילת mdatp:

  • חבילת mdatp RPM דורשת "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
  • עבור RHEL6, חבילת Mdatp RPM דורשת "audit", "policycoreutils", "libselinux", "mde-netfilter"
  • עבור DEBIAN, חבילת mdatp דורשת "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
  • עבור Mariner, חבילת mdatp דורשת "attr", "audit", "diffutils", "libacl", "libattr", "libselinux-utils", "selinux-policy", "policycoreutils", "mde-netfilter"

חבילת mde-netfilter כוללת גם את יחסי התלות הבאים של החבילה:

  • עבור DEBIAN, חבילת mde-netfilter דורשת "libnetfilter-queue1", "libglib2.0-0"
  • עבור RPM, חבילת mde-netfilter דורשת "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
  • עבור Mariner, חבילת mde-netfilter דורשת "libnfnetlink", "libnetfilter_queue"

אם ההתקנה Microsoft Defender עבור נקודת קצה נכשלת עקב שגיאות של יחסי תלות חסרים, באפשרותך להוריד באופן ידני את יחסי התלות המהווים דרישה מוקדמת.

בעיות בהתקנת יומן רישום

ראה בעיות בהתקנת יומן רישום לקבלת מידע נוסף על האופן שבו ניתן למצוא את יומן הרישום שנוצר באופן אוטומטי שנוצר על-ידי המתקין כאשר מתרחשת שגיאה.

כיצד לעבור מערוץ Insiders-Fast לערוץ ייצור

  1. הסר את ההתקנה של גירסת "ערוץ Insiders-Fast" של Defender עבור נקודת קצה ב- Linux.

    sudo yum remove mdatp

  2. השבת את Defender for Endpoint ב- Linux Insiders-Fast repo

    sudo yum repolist

    הערה

    הפלט אמור להציג "packages-microsoft-com-fast-prod".

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. לפרוס מחדש Microsoft Defender עבור נקודת קצה על Linux באמצעות "ערוץ הייצור".

הסרת ההתקנה

ראה הסרת התקנה לקבלת פרטים על הסרת נקודת קצה של Defender עבור Linux מהתקני לקוח.

למידע נוסף

עצה

האם ברצונך לקבל מידע נוסף? Engage עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: Microsoft Defender עבור נקודת קצה Tech Community.