השתמש בפריסה מבוססת Script של תוכנית ההתקנה כדי לפרוס Microsoft Defender עבור נקודת קצה ב- Linux

מבוא

באפשרותך לפרוס את Defender for Endpoint ב- Linux באמצעות כלים ושיטות שונים. מאמר זה מתאר כיצד להפוך את הפריסה של Defender for Endpoint לאוטומטית ב- Linux באמצעות קובץ Script של מתקין. קובץ Script זה מזהה את ההתפלגות והגירסה, בוחר את המאגר הנכון, מגדיר את המכשיר למשוך את גירסת הסוכן העדכנית ביותר וצירוף המכשיר אל Defender for Endpoint באמצעות חבילת הצירוף. מומלץ מאוד להשתמש בשיטה זו כדי לפשט את תהליך הפריסה.

כדי להשתמש בשיטה אחרת, עיין במקטע תוכן קשור.

חשוב

אם ברצונך להפעיל פתרונות אבטחה מרובים זה לצד זה, ראה שיקולים עבור ביצועים, תצורה ותמיכה.

ייתכן שכבר הגדרת אי-הכללות של אבטחה הדדית עבור מכשירים שצורתם Microsoft Defender עבור נקודת קצה. אם עדיין עליך להגדיר אי-הכללה הדדית כדי להימנע מהתנגשויות, ראה הוספת Microsoft Defender עבור נקודת קצה לרשימת אי-ההכללה עבור הפתרון הקיים שלך.

דרישות מוקדמות ודרישות מערכת

לפני שתתחיל, ראה דרישות מוקדמות עבור Defender for Endpoint ב- Linux לקבלת תיאור של דרישות מוקדמות ודרישות המערכת.

עצה

לפני הפעלת קובץ ה- Script של תוכנת ההתקנה לפריסת Defender בשרת Linux, מומלץ להפעיל את קובץ ה- Script --pre-req עם האפשרות לבדוק את דרישות המערכת המינימליות (זיכרון, CPU, שטח דיסק, מערכת הפעלה נתמכת) לפני הפריסה.

תהליך פריסה

1. הורד את חבילת הצירוף מהפורטל Microsoft Defender על-ידי ביצוע השלבים הבאים:

   1. בפורטל Microsoft Defender, הרחב את המקטעמערכת ובחר הגדרות>נקודות קצה ניהול>מכשירים>צירוף.

   2. בתפריט הנפתח הראשון, בחר Linux Server כמערכת ההפעלה.

   3. בתפריט הנפתח השני, בחר קובץ Script מקומי כשיעולת הפריסה.

   4. בחר הורד חבילת צירוף. שמור את הקובץ כ- WindowsDefenderATPOnboardingPackage.zip.

      

   5. משורת פקודה, חלץ את תוכן הארכיון:

      unzip WindowsDefenderATPOnboardingPackage.zip
      

      Archive:  WindowsDefenderATPOnboardingPackage.zip
      inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
      

      אזהרה

      אריזה מחדש של חבילת ההתקנה של Defender for Endpoint אינה תרחיש נתמך. פעולה זו יכולה להשפיע לרעה על תקינות המוצר ולהוביל לתוצאות שליליות, כולל אך לא מוגבל להפעלת התראות שלא כדין ועדכונים שאינם חלים.

      חשוב

      אם תחמיץ שלב זה, כל פקודה שתבצע מציגה הודעת אזהרה המציינת כי המוצר אינו מורשה. כמו כן, הפקודה 'תקינות mdatp' מחזירה ערך False.

2. הורד את קובץ ה- Script ל- bash של תוכנית ההתקנה המסופק במאגר GitHub הציבורי שלנו.

3. הענק הרשאות הפעלה לקובץ ה- Script של תוכנת ההתקנה:

   chmod +x mde_installer.sh
   

4. בצע את קובץ ה- Script של תוכנת ההתקנה וספק את חבילת הצירוף בפרמטר כדי להתקין את הסוכן ולהקליט את המכשיר לפורטל Defender.

   sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req
   

   פקודה זו פורסת את גירסת הסוכן העדכנית ביותר בערוץ הייצור, בודקת את דרישות המערכת המינימליות (זיכרון, CPU, שטח דיסק, מערכת הפעלה נתמכת) ומקלוטת את המכשיר לפורטל Defender.

   בנוסף, באפשרותך להעביר פרמטר נוסף בהתבסס על הדרישות שלך כדי לשנות את ההתקנה. עיין בעזרה לקבלת כל האפשרויות הזמינות:

    ❯ ./mde_installer.sh --help
   mde_installer.sh v0.7.0
   usage: basename ./mde_installer.sh [OPTIONS]
   Options:
   -c|--channel              specify the channel (insiders-fast / insiders-slow / prod) from which to install. Default: prod
   -i|--install              install the product
   -r|--remove               uninstall the product
   -u|--upgrade              upgrade the existing product to a newer version if available
   -l|--downgrade            downgrade the existing product to an older version if available
   -o|--onboard <script>     onboard MDE with the specified onboarding script
   -f|--offboard <script>    offboard MDE with the specified offboarding script
   -p|--passive-mode         set real-time protection to passive mode
   -a|--rtp-mode             set real-time protection to active mode. Passive-mode and rtp-mode are mutually exclusive
   -t|--tag                  set a tag by declaring <name> and <value>, e.g.: -t GROUP Coders
   -q|--pre-req              check minimum system requirements for MDE (memory, CPU, disk space, supported OS) without installing
   -x|--skip_conflict        skip conflicting application verification
   -w|--clean                remove MDE repository from the package manager for the specified channel
   -y|--yes                  assume yes for all mid-process prompts (default, deprecated)
   -n|--no                   disable the default assume-yes behavior for prompts
   -s|--verbose              enable verbose output
   -v|--version              print the script version
   -d|--debug                enable debug mode
   --log-path <PATH>         also log output to PATH
   --http-proxy <URL>        set http proxy
   --https-proxy <URL>       set https proxy
   --ftp-proxy <URL>         set ftp proxy
   --mdatp <version>         install a specific version of MDE; uses the latest if not provided
   --use-local-repo          skip MDE repository setup and use the locally configured repository
   -b|--install-path <PATH>  specify the installation and configuration path for MDE. Default: /
   -h|--help                 display help
   

תרחיש	הפקודה
התקנה במיקום נתיב מותאם אישית	sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req --install-path /custom/path/location
התקנת גירסת סוכן ספציפית	sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --pre-req –-mdatp 101.24082.0004
שדרג לגירסת הסוכן העדכנית ביותר	sudo ./mde_installer.sh --upgrade
שדרוג לגירסת סוכן ספציפית	sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
שדרוג לאחור לגירסת סוכן ספציפית	sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
הסרת התקנה של סוכן	sudo ./mde_installer.sh --remove
הפעל פעולות בדיקה מוקדמות בלבד (אין התקנה)	sudo ./mde_installer.sh --pre-req

לקבלת פרטים אודות התקנה בנתיב מותאם אישית, ראה: התקנת Defender עבור נקודת קצה Linux לנתיב מותאם אישית.

הערה

• שדרוג מערכת ההפעלה לגירסה ראשית חדשה לאחר התקנת המוצר מחייב התקנה מחדש של המוצר. עליך להסיר את ההתקנה של נקודת הקצה הקיימת של Defender for Linux, לשדרג את מערכת ההפעלה ולאחר מכן לקבוע מחדש את התצורה של Defender for Endpoint ב- Linux.
• לא ניתן לשנות את נתיב ההתקנה לאחר התקנת Defender for Endpoint. כדי להשתמש בנתיב אחר, הסר את התקנת המוצר והתקן אותו מחדש במיקום החדש.

אימות מצב הפריסה

1. בפורטל Microsoft Defender, פתח את רשימת מלאי המכשירים. ייתכן שיחלפו 5-20 דקות עד שהמכשיר יופיע בפורטל.

2. הפעל בדיקת זיהוי אנטי-וירוס כדי לוודא שהמכשיר מחובר כראוי ומדווח לשירות. בצע את השלבים הבאים במכשיר החדש שצירוף:

   1. ודא שהגנה בזמן אמת זמינה (צוין כתוצאה מהפעלת true הפקודה הבאה):

      mdatp health --field real_time_protection_enabled
      

      אם היא אינה זמינה, בצע את הפקודה הבאה:

      mdatp config real-time-protection --value enabled
      

   2. פתח חלון מסוף ובצע את הפקודה הבאה כדי להפעיל בדיקת זיהוי:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. באפשרותך להפעיל בדיקות זיהוי נוספות בקבצים מכווכסים באמצעות אחת מהפקודות הבאות:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

   4. יש להעביר את הקבצים להסגר על-ידי Defender for Endpoint Linux. השתמש בפקודה הבאה כדי להציג רשימה של כל האיומים שזוהו:

      mdatp threat list
      

3. הפעל בדיקת זיהוי של EDR ודמות זיהוי כדי לוודא שהמכשיר מחובר כראוי ומדווח לשירות. בצע את השלבים הבאים במכשיר החדש שצירוף:

   1. הורד וחלץ את קובץ ה- Script לשרת Linux צירוף.

   2. הענק הרשאות הפעלה לקובץ ה- Script:

      chmod +x mde_linux_edr_diy.sh
      

   3. הפעל את הפקודה הבאה:

      ./mde_linux_edr_diy.sh
      

   4. לאחר כמה דקות, זיהוי אמור להיות מופעל Microsoft Defender XDR.

   5. בדוק את פרטי ההתראה, ציר הזמן של המחשב ובצע את שלבי החקירה האופייניים שלך.

Microsoft Defender עבור נקודת קצה תלות בחבילה חיצונית של חבילה

אם ההתקנה Microsoft Defender עבור נקודת קצה נכשלת עקב שגיאות של יחסי תלות חסרים, באפשרותך להוריד באופן ידני את יחסי התלות הדרושים.

יחסי התלות הבאים של החבילה החיצונית קיימים עבור mdatp החבילה:

• mdatp RPM החבילה דורשת -glibc >= 2.17
• עבור DEBIAN נדרשת mdatp החבילה libc6 >= 2.23
• עבור מרים החבילה mdatp דורשת attr,diffutils, libacl, libattr,libselinux-utils, selinux-policy, , policycoreutils

הערה

החל מגירסה 101.24082.0004, Defender for Endpoint ב Linux אינו תומך עוד לספק Auditd האירועים. אנחנו ומעבר לחלוטין לטכנולוגיית eBPF היעילה יותר. eBPF אם אין תמיכה במחשבים שלך, Auditdאו אם יש דרישות ספציפיות להישאר ב- , והמחשבים שלך משתמשים ב- Defender for Endpoint בגירסה או בגירסאות קודמות של Linux101.24072.0001, קיימים יחסי תלות אחרים בחבילה המנוהלות עבור mdatp. עבור גירסה שגילה עולה על 101.25032.0000:

• צרכי חבילת RPM: mde-netfilter, pcre
• חבילת DEBIAN זקוקה: mde-netfilter, libpcre3
• mde-netfilter החבילה כוללת גם את יחסי התלות הבאים בחבילה: - עבור DEBIAN, חבילת mde-netfilter libnetfilter-queue1libglib2.0-0 דורשת ו- - עבור RPM, חבילת mde-netfilter libmnlדורשת , libnfnetlink, , libnetfilter_queueglib2101.25042.0003ומתחילה בגירסה , זמן ריצה של uuid אינו נדרש עוד כ תלות חיצונית.

פתרון בעיות התקנה

אם אתה נתקל בבעיות התקנה, לפתרון בעיות עצמיות, בצע את הפעולות הבאות:

1. לקבלת מידע אודות האופן שבו ניתן למצוא את יומן הרישום שנוצר באופן אוטומטי כאשר מתרחשת שגיאת התקנה, ראה בעיות בהתקנת יומן רישום.

2. לקבלת מידע אודות בעיות התקנה נפוצות, ראה בעיות התקנה.

3. אם תקינות המכשיר היא false, ראה בעיות תקינות של סוכן נקודות קצה של Defender עבור.

4. לקבלת בעיות בביצועי המוצר, ראה פתרון בעיות ביצועים.

5. עבור בעיות Proxy וקישוריות, ראה פתרון בעיות קישוריות בענן.

כדי לקבל תמיכה מ- Microsoft, פתח כרטיס תמיכה וספק את קבצי יומן הרישום שנוצרו באמצעות מנתח הלקוח.

כיצד לעבור בין ערוצים

לדוגמה, כדי לשנות ערוץ מ- Insiders-Fast לייצור, בצע את הפעולות הבאות:

1. הסר את Insiders-Fast channel ההתקנה של גירסת Defender for Endpoint ב- Linux.

   sudo yum remove mdatp
   

2. השבת את Defender for Endpoint Linux Insiders-Fast repo.

   sudo yum repolist
   

   הערה

   הפלט אמור להציג packages-microsoft-com-fast-prod.

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. לפרוס מחדש Microsoft Defender עבור נקודת קצה על Linux באמצעות ערוץ הייצור.

ניתן לפרוס את Defender for Endpoint Linux מתוך אחד מהערוצים הבאים (מציין כ- [channel]):

• insiders-fast
• insiders-slow
• prod

כל אחד מערוצים אלה תואם למאגר Linux התוכנה. ההוראות במאמר זה מתארות את קביעת התצורה של המכשיר שלך לשימוש באחד מהמאגרים הללו.

בחירת הערוץ קובעת את הסוג והתדירות של עדכונים המוצעים למכשיר שלך. מכשירים ב- Insider-fast הם הראשונים שיקבלו עדכונים ותכונות חדשות, ואחר כך משתתפי Insider-slow ואחרונה על-ידי עדכון.

כדי להציג תכונות חדשות בתצוגה מקדימה ולספק משוב מוקדם, מומלץ להגדיר מכשירים מסוימים בארגון לשימוש ב- insiders-fast או ב- insiders-slow.

אזהרה

החלפת הערוץ לאחר ההתקנה הראשונית מחייבת התקנה מחדש של המוצר. כדי להחליף את ערוץ המוצר: הסר את ההתקנה של החבילה הקיימת, הגדר מחדש את המכשיר לשימוש בערוץ החדש ובצע את השלבים המפורטים במסמך זה כדי להתקין את החבילה מהמיקום החדש.

כיצד להגדיר פריטי מדיניות עבור Microsoft Defender ב- Linux

כדי לקבוע את התצורה של הגדרות אנטי-וירוס ו- EDR, עיין במאמרים הבאים:

• ניהול הגדרות האבטחה של Defender for Endpoint מתאר כיצד לקבוע תצורה של הגדרות Microsoft Defender האינטרנט. (שיטה זו מומלצת.)
• הגדר העדפות עבור Defender for Endpoint ב- Linux מתאר הגדרות שניתן לקבוע את תצורתן.

תוכן קשור

• דרישות מוקדמות עבור Microsoft Defender עבור נקודת קצה ב- Linux
• פריסת Defender עבור נקודת קצה ב- Linux עם Ansible
• פריסת Defender עבור נקודת קצה ב- Linux עם Chef
• פריסת Defender עבור נקודת קצה ב- Linux עם בובות
• פריסת Defender עבור נקודת קצה ב- Linux באמצעות Saltstack
• פריסת Defender עבור נקודת קצה ב- Linux ידנית
• חבר את המחשבים שאינם Azure שלך ל- Microsoft Defender לענן באמצעות Defender for Endpoint (צירוף ישיר באמצעות Defender לענן)
• הדרכת פריסה עבור Defender עבור נקודת קצה ב Linux for SAP
• התקנת Defender for Endpoint Linux לנתיב מותאם אישית