Megosztás a következőn keresztül:

Végponthoz készült Microsoft Defender manuális üzembe helyezése Linuxon

  • Cikk

Szeretné megismerni a Végponthoz készült Defendert? Regisztráció az ingyenes próbaverzióra

Tipp

Speciális útmutatást keres a Végponthoz készült Microsoft Defender Linuxon való üzembe helyezéséhez? Lásd: Speciális üzembe helyezési útmutató a Végponthoz készült Defender linuxos verziójában.

Ez a cikk azt ismerteti, hogyan helyezheti üzembe manuálisan a Végponthoz készült Microsoft Defender Linux rendszeren. A sikeres üzembe helyezéshez az alábbi feladatok végrehajtására van szükség:

Előfeltételek és rendszerkövetelmények

Az első lépések előtt tekintse meg a linuxos Végponthoz készült Microsoft Defender című témakört az aktuális szoftververzió előfeltételeinek és rendszerkövetelményeinek leírásáért.

Figyelmeztetés

Miután a termék telepítése megtörtént, az operációs rendszer frissítése egy új főverzióra a termék újratelepítését igényli. Távolítsa el a meglévő Végponthoz készült Defendert Linuxon, frissítse az operációs rendszert, majd konfigurálja újra a Végponthoz készült Defendert Linuxon az alábbi lépések végrehajtásával.

A Linux-szoftveradattár konfigurálása

A Végponthoz készült Defender Linuxon a következő csatornák egyikéről telepíthető ([ csatorna]): insiders-fast, insiders-slow vagy prod. Ezen csatornák mindegyike egy Linux-szoftveradattárnak felel meg. A cikkben található utasítások azt mutatják be, hogyan konfigurálhatja az eszközt ezen adattárak egyikének használatára.

A csatorna kiválasztása határozza meg az eszköz számára kínált frissítések típusát és gyakoriságát. Az insider-fast rendszerű eszközök az elsők, amelyek frissítéseket és új funkciókat kapnak, majd később az insider-slow és végül a prod.

Az új funkciók előzetes verziójának megtekintéséhez és a korai visszajelzések küldéséhez javasoljuk, hogy a vállalat néhány eszközét úgy konfigurálja, hogy az insider-fast vagy az insider-slow verziót használja.

Figyelmeztetés

Ha a kezdeti telepítés után vált a csatornára, újra kell telepíteni a terméket. A termékcsatorna váltása: távolítsa el a meglévő csomagot, konfigurálja újra az eszközt az új csatorna használatára, és a jelen dokumentumban leírt lépéseket követve telepítse a csomagot az új helyről.

Telepítőszkript

A manuális telepítésről is szó esik, de használhat egy, a nyilvános GitHub-adattárban elérhető automatizált telepítő bash-szkriptet is. A szkript azonosítja az elosztást és a verziót, leegyszerűsíti a megfelelő adattár kiválasztását, beállítja az eszközt a legújabb csomag lekérésére, és egyesíti a termék telepítési és előkészítési lépéseit.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

További információt itt talál.

RHEL és változatok (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky és Alma)

SLES és változatok

Megjegyzés:

Az Ön disztribúciója és verziója, és azonosítsa a legközelebbi bejegyzést (fő, majd alverzió szerint) a alatt https://packages.microsoft.com/config/sles/.

A következő parancsokban cserélje le a [disztribúció] és a [verzió] elemet az azonosított adatokra:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Tipp

Az SPident paranccsal azonosíthatja a rendszerrel kapcsolatos információkat, beleértve a kiadást ([verzió]).

Ha például az SLES 12-t futtatja, és linuxos Végponthoz készült Microsoft Defender szeretne üzembe helyezni a prod csatornáról:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • Telepítse a Microsoft GPG nyilvános kulcsát:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Ubuntu- és Debian-rendszerek

  • Telepítse curl , ha még nincs telepítve:

    sudo apt-get install curl

  • Telepítse libplist-utils , ha még nincs telepítve:

    sudo apt-get install libplist-utils

    Megjegyzés:

    Az Ön disztribúciója és verziója, és azonosítsa a legközelebbi bejegyzést (fő, majd alverzió szerint) a alatt https://packages.microsoft.com/config/[distro]/.

    A következő parancsban cserélje le a [disztribúció] és a [verzió] elemet az azonosított adatokra:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Tipp

    A hostnamectl paranccsal azonosíthatja a rendszerrel kapcsolatos információkat, beleértve a kiadást ([version]).

    Ha például az Ubuntu 18.04-es verziót futtatja, és linuxos Végponthoz készült Microsoft Defender szeretne üzembe helyezni a prod csatornáról:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • Telepítse az adattár konfigurációját:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Ha például a csatornát választotta prod :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • Ha még nincs telepítve, telepítse a gpg csomagot:

    sudo apt-get install gpg

    Ha gpg nem érhető el, telepítse a következőt gnupg: .

    sudo apt-get install gnupg

  • Telepítse a Microsoft GPG nyilvános kulcsát:

    • Debian 11 és korábbi verziók esetén futtassa a következő parancsot.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

Debian 12 és újabb verziók esetén futtassa a következő parancsot.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • Ha még nincs telepítve, telepítse a HTTPS-illesztőprogramot:

    sudo apt-get install apt-transport-https

  • Frissítse az adattár metaadatait:

    sudo apt-get update

Tengerész

  • Telepítse dnf-plugins-core , ha még nincs telepítve:

    sudo dnf install dnf-plugins-core

  • A szükséges adattárak konfigurálása és engedélyezése

    Megjegyzés:

    A Marinerben az Insider Fast Channel nem érhető el.

    Ha a végponthoz készült Defendert Linuxon szeretné üzembe helyezni a prod csatornáról. Használja az alábbi parancsokat

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Vagy ha új funkciókat szeretne felfedezni a kiválasztott eszközökön, érdemes lehet Végponthoz készült Microsoft Defender Linuxon üzembe helyezni az insider-slow csatornán. Használja a következő parancsokat:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Alkalmazás telepítése

RHEL és változatok (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky és Alma)

sudo yum install mdatp

Megjegyzés:

Ha több Microsoft-adattár van konfigurálva az eszközön, megadhatja, hogy melyik adattárból telepítse a csomagot. Az alábbi példa bemutatja, hogyan telepítheti a csomagot a production csatornáról, ha az insiders-fast adattárcsatornát is konfigurálta ezen az eszközön. Ez a helyzet akkor fordulhat elő, ha több Microsoft-terméket használ az eszközén. A kiszolgáló disztribúciójától és verziójától függően az adattár aliasa eltérhet az alábbi példában szereplőtől.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES és változatok

sudo zypper install mdatp

Megjegyzés:

Ha több Microsoft-adattár van konfigurálva az eszközön, megadhatja, hogy melyik adattárból telepítse a csomagot. Az alábbi példa bemutatja, hogyan telepítheti a csomagot a production csatornáról, ha az insiders-fast adattárcsatornát is konfigurálta ezen az eszközön. Ez a helyzet akkor fordulhat elő, ha több Microsoft-terméket használ az eszközén.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- és Debian-rendszerek

sudo apt-get install mdatp

Megjegyzés:

Ha több Microsoft-adattár van konfigurálva az eszközön, megadhatja, hogy melyik adattárból telepítse a csomagot. Az alábbi példa bemutatja, hogyan telepítheti a csomagot a production csatornáról, ha az insiders-fast adattárcsatornát is konfigurálta ezen az eszközön. Ez a helyzet akkor fordulhat elő, ha több Microsoft-terméket használ az eszközén.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Megjegyzés:

A linuxos Végponthoz készült Microsoft Defender telepítése vagy frissítése után nem szükséges újraindítás, kivéve, ha a naplózást nem módosítható módban futtatja.

Tengerész

sudo dnf install mdatp

Megjegyzés:

Ha több Microsoft-adattár van konfigurálva az eszközön, megadhatja, hogy melyik adattárból telepítse a csomagot. Az alábbi példa bemutatja, hogyan telepítheti a csomagot a production csatornáról, ha az insiders-slow adattárcsatornát is konfigurálta ezen az eszközön. Ez a helyzet akkor fordulhat elő, ha több Microsoft-terméket használ az eszközén.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Az előkészítési csomag letöltése

Töltse le az előkészítési csomagot Microsoft Defender portálról.

Figyelmeztetés

A Végponthoz készült Defender telepítőcsomag újracsomagolása nem támogatott forgatókönyv. Ez negatív hatással lehet a termék integritására, és kedvezőtlen eredményekhez vezethet, beleértve, de nem kizárólagosan az illetéktelen módosítási riasztások aktiválását és a frissítések alkalmazásának sikertelenségét.

Fontos

Ha kihagyja ezt a lépést, a végrehajtott parancsok figyelmeztető üzenetet fognak megjeleníteni, amely jelzi, hogy a termék nem rendelkezik licencekkel. A parancs a mdatp health értékét is visszaadja false.

  1. A Microsoft Defender portálon lépjen a Beállítások > Végpontok > Eszközkezelés > Előkészítés területre.

  2. Az első legördülő menüben válassza a Linux Server elemet operációs rendszerként. A második legördülő menüben válassza a Helyi szkript lehetőséget üzembehelyezési módszerként.

  3. Válassza az Előkészítési csomag letöltése lehetőséget. Mentse a fájlt WindowsDefenderATPOnboardingPackage.zip.

    Előkészítési csomag letöltése a Microsoft Defender portálon

  4. A parancssorból ellenőrizze, hogy rendelkezik-e a fájllal, és bontsa ki az archívum tartalmát:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Ügyfélkonfiguráció

  1. Másolja MicrosoftDefenderATPOnboardingLinuxServer.py a céleszközre.

    Megjegyzés:

    Az ügyféleszköz kezdetben nincs szervezethez társítva, és az orgId attribútum üres.

    mdatp health --field org_id

  2. Futtassa MicrosoftDefenderATPOnboardingLinuxServer.py.

    Megjegyzés:

    A parancs futtatásához a disztribúciótól és a verziótól függően telepítve kell lennie pythonpython3 az eszközön. Ha szükséges, tekintse meg a Python Linuxon történő telepítésének részletes útmutatója című témakört.

    Megjegyzés:

    A korábban kivezetésre került eszköz előkészítéséhez el kell távolítania az /etc/opt/microsoft/mdatp címen található mdatp_offboard.json fájlt.

    Ha RHEL 8.x vagy Ubuntu 20.04 vagy újabb verziót használ, a következőt kell használnia python3: .

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    A többi disztribúcióhoz és verzióhoz a következőt kell használnia python: .

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Ellenőrizze, hogy az eszköz most már társítva van-e a szervezethez, és jelent-e érvényes szervezeti azonosítót:

    mdatp health --field org_id

  4. Ellenőrizze a termék állapotát a következő parancs futtatásával. A visszatérési true érték azt jelzi, hogy a termék a várt módon működik:

    mdatp health --field healthy

    Fontos

    Amikor a termék első alkalommal elindul, letölti a legújabb kártevőirtó-definíciókat. Ez a hálózati kapcsolattól függően akár néhány percet is igénybe vehet. Ez idő alatt a fenti parancs a értékét falseadja vissza. A definíciófrissítés állapotát a következő paranccsal ellenőrizheti:

    mdatp health --field definitions_status

    Vegye figyelembe, hogy előfordulhat, hogy a kezdeti telepítés befejezése után proxyt is konfigurálnia kell. Lásd: Végponthoz készült Defender konfigurálása Linuxon statikus proxyfelderítéshez: Telepítés utáni konfiguráció.

  5. Futtasson egy AV-észlelési tesztet annak ellenőrzéséhez, hogy az eszköz megfelelően van-e regisztrálva, és jelentést küld-e a szolgáltatásnak. Hajtsa végre a következő lépéseket az újonnan előkészített eszközön:

    • Győződjön meg arról, hogy a valós idejű védelem engedélyezve van (ezt a következő parancs futtatásának eredménye true jelzi):

      mdatp health --field real_time_protection_enabled

      Ha nincs engedélyezve, hajtsa végre a következő parancsot:

      mdatp config real-time-protection --value enabled

    • Nyisson meg egy terminálablakot, és futtassa a következő parancsot egy észlelési teszt futtatásához:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • Az alábbi parancsok valamelyikével további észlelési teszteket futtathat zip-fájlokon:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    • A végponthoz készült Defendernek karanténba kell helyeznie a fájlokat Linuxon. Az alábbi paranccsal listázhatja az összes észlelt fenyegetést:

      mdatp threat list

  6. Futtasson egy EDR-észlelési tesztet, és szimuláljon egy észlelést annak ellenőrzéséhez, hogy az eszköz megfelelően van-e regisztrálva, és jelentést küld-e a szolgáltatásnak. Hajtsa végre a következő lépéseket az újonnan előkészített eszközön:

  • Ellenőrizze, hogy az előkészített Linux-kiszolgáló megjelenik-e a Microsoft Defender XDR. Ha ez a gép első előkészítése, akár 20 percet is igénybe vehet, amíg megjelenik.

    • Töltse le és csomagolja ki a szkriptfájlt egy előkészített Linux-kiszolgálóra, és futtassa a következő parancsot: ./mde_linux_edr_diy.sh

    • Néhány perc elteltével észlelést kell létrehozni Microsoft Defender XDR.

    • Tekintse meg a riasztás részleteit, a gép idővonalát, és végezze el a tipikus vizsgálati lépéseket.

csomag külső csomagfüggőségeinek Végponthoz készült Microsoft Defender

Az mdatp-csomaghoz a következő külső csomagfüggőségek léteznek:

  • Az mdatp RPM-csomaghoz , glibc >= 2.17audit, , , semanageselinux-policy-targetedpolicycoreutilsmde-netfilter
  • DEBIAN esetén az mdatp csomaghoz , libc6 >= 2.23uuid-runtime, , auditdmde-netfilter
  • A Mariner esetében az mdatp csomaghoz , , , libacldiffutils, libattr, , policycoreutilsselinux-policylibselinux-utilsauditattrmde-netfilter

Az mde-netfilter csomag a következő csomagfüggőségekkel is rendelkezik:

  • A DEBIAN esetében az mde-netfilter csomag megköveteli a következőt libnetfilter-queue1: , libglib2.0-0
  • Az RPM esetében az mde-netfilter csomaghoz , libmnl, libnetfilter_queuelibnfnetlinkglib2
  • A Mariner esetében az mde-netfilter csomag megköveteli a következőt libnfnetlink: , libnetfilter_queue

Ha a Végponthoz készült Microsoft Defender telepítése hiányzó függőségi hibák miatt meghiúsul, manuálisan letöltheti az előfeltétel-függőségeket.

Naplótelepítési problémák

Ha többet szeretne megtudni arról, hogyan keresheti meg a telepítő által hiba esetén létrehozott automatikusan létrehozott naplót, olvassa el a Naplótelepítési problémák című témakört.

Migrálás Insiders-Fast éles csatornára

  1. Távolítsa el a Insiders-Fast channel Végponthoz készült Defender verzióját Linux rendszeren.

    sudo yum remove mdatp

  2. Végponthoz készült Defender letiltása Linux Insiders-Fast-adattárban

    sudo yum repolist

    Megjegyzés:

    A kimenetben a következőnek kell megjelennie packages-microsoft-com-fast-prod: .

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. A Végponthoz készült Microsoft Defender ismételt üzembe helyezése Linuxon az Éles csatorna használatával.

Eltávolítás

A Végponthoz készült Defender linuxos ügyféleszközökről való eltávolításával kapcsolatos részletekért lásd: Eltávolítás.

Lásd még

Tipp

Szeretne többet megtudni? Engage a Microsoft biztonsági közösségével a technikai közösségünkben: Végponthoz készült Microsoft Defender Tech Community.