Végponthoz készült Microsoft Defender üzembe helyezése a Linux-ben telepítőszkriptalapú üzembe helyezéssel

  • A következőre érvényes:: Microsoft Defender for Endpoint Plan 1, Microsoft Defender for Endpoint Plan 2

Bevezetés

A Végponthoz készült Defendert különböző eszközökkel és módszerekkel helyezheti üzembe Linux. Ez a cikk azt ismerteti, hogyan automatizálhatja a Végponthoz készült Defender üzembe helyezését Linux egy telepítőszkript használatával. Ez a szkript azonosítja a disztribúciót és a verziót, kiválasztja a megfelelő adattárat, beállítja az eszközt a legújabb ügynökverzió lekérésére, és az előkészítési csomag használatával regisztrálja az eszközt a Végponthoz készült Defenderbe. Ez a módszer erősen ajánlott az üzembehelyezési folyamat leegyszerűsítése érdekében.

Ha másik módszert szeretne használni, tekintse meg a Kapcsolódó tartalom szakaszt.

Fontos

Ha több biztonsági megoldást szeretne egymás mellett futtatni, tekintse meg a teljesítménnyel, konfigurációval és támogatással kapcsolatos szempontokat ismertető cikket.

Előfordulhat, hogy már konfigurálta a kölcsönös biztonsági kizárásokat a Végponthoz készült Microsoft Defender előkészített eszközökhöz. Ha továbbra is kölcsönös kizárásokat kell beállítania az ütközések elkerülése érdekében, tekintse meg az Végponthoz készült Microsoft Defender hozzáadása a meglévő megoldás kizárási listájához című témakört.

Előfeltételek és rendszerkövetelmények

A kezdés előtt tekintse meg a Végponthoz készült Defender előfeltételei Linux című cikket az előfeltételek és a rendszerkövetelmények leírásáért.

Tipp

Mielőtt futtatja a telepítőszkriptet a Defender üzembe helyezéséhez a Linux-kiszolgálón, javasoljuk, hogy az üzembe helyezés előtt futtassa a szkriptet a --pre-req minimális rendszerkövetelmények (memória, PROCESSZOR, lemezterület, támogatott operációs rendszer) ellenőrzésének lehetőségével.

Üzembehelyezési folyamat

  1. Töltse le az előkészítési csomagot Microsoft Defender portálról az alábbi lépésekkel:

    1. A Microsoft Defender portálon bontsa ki a Rendszer szakaszt, és válassza a Beállítások>Végpontok>Eszközkezelés>Előkészítés lehetőséget.

    2. Az első legördülő menüben válassza a Linux Server elemet operációs rendszerként.

    3. A második legördülő menüben válassza a Helyi szkript lehetőséget üzembehelyezési módszerként.

    4. Válassza az Előkészítési csomag letöltése lehetőséget. Mentse a fájlt néven WindowsDefenderATPOnboardingPackage.zip.

      Képernyőkép az előkészítési csomag letöltéséhez kiválasztandó lehetőségekről.

    5. Egy parancssorból bontsa ki az archívum tartalmát:

      unzip WindowsDefenderATPOnboardingPackage.zip

      Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

      Figyelmeztetés

      A Végponthoz készült Defender telepítőcsomag újracsomagolása nem támogatott forgatókönyv. Ez negatív hatással lehet a termék integritására, és kedvezőtlen eredményekhez vezethet, beleértve, de nem kizárólagosan az illetéktelen módosítási riasztások aktiválását és a frissítések alkalmazásának sikertelenségét.

      Fontos

      Ha kihagyja ezt a lépést, a végrehajtott parancsok figyelmeztető üzenetet jelennek meg, amely jelzi, hogy a termék nem rendelkezik licencekkel. Az mdatp health parancs szintén hamis értéket ad vissza.

  2. Töltse le a nyilvános GitHub-adattárban található telepítő bash-szkriptet.

  3. Végrehajtható engedélyek megadása a telepítőszkripthez:

    chmod +x mde_installer.sh

  4. Hajtsa végre a telepítőszkriptet, és adja meg paraméterként az előkészítési csomagot az ügynök telepítéséhez és az eszköz a Defender portálon való előkészítéséhez.

    sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req

    Ez a parancs üzembe helyezi a legújabb ügynökverziót az éles csatornán, ellenőrzi a minimális rendszerkövetelményeket (memória, PROCESSZOR, lemezterület, támogatott operációs rendszer), és beveszi az eszközt a Defender Portalra.

    Emellett további paramétereket is megadhat a telepítés módosításához szükséges követelmények alapján. Tekintse meg a súgóban az összes rendelkezésre álló lehetőséget:

     ❯ ./mde_installer.sh --help
mde_installer.sh v0.7.0
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel              specify the channel (insiders-fast / insiders-slow / prod) from which to install. Default: prod
-i|--install              install the product
-r|--remove               uninstall the product
-u|--upgrade              upgrade the existing product to a newer version if available
-l|--downgrade            downgrade the existing product to an older version if available
-o|--onboard <script>     onboard MDE with the specified onboarding script
-f|--offboard <script>    offboard MDE with the specified offboarding script
-p|--passive-mode         set real-time protection to passive mode
-a|--rtp-mode             set real-time protection to active mode. Passive-mode and rtp-mode are mutually exclusive
-t|--tag                  set a tag by declaring <name> and <value>, e.g.: -t GROUP Coders
-q|--pre-req              check minimum system requirements for MDE (memory, CPU, disk space, supported OS) without installing
-x|--skip_conflict        skip conflicting application verification
-w|--clean                remove MDE repository from the package manager for the specified channel
-y|--yes                  assume yes for all mid-process prompts (default, deprecated)
-n|--no                   disable the default assume-yes behavior for prompts
-s|--verbose              enable verbose output
-v|--version              print the script version
-d|--debug                enable debug mode
--log-path <PATH>         also log output to PATH
--http-proxy <URL>        set http proxy
--https-proxy <URL>       set https proxy
--ftp-proxy <URL>         set ftp proxy
--mdatp <version>         install a specific version of MDE; uses the latest if not provided
--use-local-repo          skip MDE repository setup and use the locally configured repository
-b|--install-path <PATH>  specify the installation and configuration path for MDE. Default: /
-h|--help                 display help
Forgatókönyv Parancs
Telepítés egyéni elérési útra sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --pre-req --install-path /custom/path/location
Adott ügynökverzió telepítése sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --pre-req –-mdatp 101.24082.0004
Frissítés a legújabb ügynökverzióra sudo ./mde_installer.sh --upgrade
Frissítés egy adott ügynökverzióra sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
Váltás egy adott ügynökverzióra sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
Ügynök eltávolítása sudo ./mde_installer.sh --remove
Csak az újrapróbálkozási előtti ellenőrzések futtatása (telepítés nélkül) sudo ./mde_installer.sh --pre-req

Az egyéni elérési útra való telepítéssel kapcsolatos részletekért lásd: Végponthoz készült Defender telepítése Linux egyéni elérési útra.

Megjegyzés:

  • Ha a termék telepítése után frissíti az operációs rendszert egy új főverzióra, újra kell telepíteni a terméket. El kell távolítania a végponthoz készült defendert a Linux, frissítenie kell az operációs rendszert, majd újra kell konfigurálnia a Végponthoz készült Defendert a Linux.
  • A végponthoz készült Defender telepítése után a telepítési útvonal nem módosítható. Ha másik elérési utat szeretne használni, távolítsa el és telepítse újra a terméket az új helyen.

Az üzembe helyezés állapotának ellenőrzése

  1. A Microsoft Defender portálon nyissa meg az eszközleltárt. 5–20 percig is eltarthat, amíg az eszköz megjelenik a portálon.

  2. Futtasson víruskereső-észlelési tesztet annak ellenőrzéséhez, hogy az eszköz megfelelően van-e regisztrálva, és jelentést küld-e a szolgáltatásnak. Hajtsa végre a következő lépéseket az újonnan előkészített eszközön:

    1. Győződjön meg arról, hogy a valós idejű védelem engedélyezve van (ezt a következő parancs futtatásának eredménye true jelzi):

      mdatp health --field real_time_protection_enabled

      Ha nincs engedélyezve, hajtsa végre a következő parancsot:

      mdatp config real-time-protection --value enabled

    2. Nyisson meg egy terminálablakot, és futtassa a következő parancsot egy észlelési teszt futtatásához:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    3. Az alábbi parancsok valamelyikével további észlelési teszteket futtathat zip-fájlokon:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    4. A végponthoz készült Defendernek karanténba kell helyeznie a fájlokat a Linux. Az alábbi paranccsal listázhatja az összes észlelt fenyegetést:

      mdatp threat list

  3. Futtasson egy EDR-észlelési tesztet, és szimuláljon egy észlelést annak ellenőrzéséhez, hogy az eszköz megfelelően van-e regisztrálva, és jelentést küld-e a szolgáltatásnak. Hajtsa végre a következő lépéseket az újonnan előkészített eszközön:

    1. Töltse le és csomagolja ki a szkriptfájlt egy előkészített Linux-kiszolgálóra.

    2. Végrehajtható engedélyek megadása a szkripthez:

      chmod +x mde_linux_edr_diy.sh

    3. Futtassa az alábbi parancsot:

      ./mde_linux_edr_diy.sh

    4. Néhány perc elteltével észlelést kell létrehozni a Microsoft Defender XDR.

    5. Ellenőrizze a riasztás részleteit, a gép idővonalát, és végezze el a tipikus vizsgálati lépéseket.

csomag külső csomagfüggőségeinek Végponthoz készült Microsoft Defender

Ha a Végponthoz készült Microsoft Defender telepítése hiányzó függőségi hibák miatt meghiúsul, manuálisan letöltheti a szükséges függőségeket.

A csomaghoz mdatp a következő külső csomagfüggőségek léteznek:

  • A mdatp RPM csomaghoz a következőre van szükség: glibc >= 2.17
  • DEBIAN esetén a mdatp csomag használatához libc6 >= 2.23
  • A Mariner esetében a mdatp csomaghoz attr,diffutils, libacl, libattr,libselinux-utils , selinux-policypolicycoreutils

Megjegyzés:

A verziótól 101.24082.0004kezdve a végponthoz készült Defender Linux már nem támogatja az eseményszolgáltatótAuditd. Teljesen áttérünk a hatékonyabb eBPF technológiára. Ha eBPF a gépek nem támogatottak, vagy ha bizonyos követelményeknek meg kell maradniuk a rendszerenAuditd, és a gépek a Végponthoz készült Defendert használják Linux verzióban vagy korábbi verzióban101.24072.0001, a naplózott csomag egyéb függőségei is léteznek a esetébenmdatp. Régebbi verzió esetén 101.25032.0000:

  • Az RPM-csomagnak a következőre van szüksége: mde-netfilter, pcre
  • A DEBIAN-csomagnak szüksége van a következőre: mde-netfilter, libpcre3
  • A mde-netfilter csomag a következő csomagfüggőségekkel is rendelkezik: - DEBIAN esetén az mde-netfilter csomaghoz libnetfilter-queue1 és libglib2.0-0 – RPM esetén az mde-netfilter csomaghoz libmnlszükséges, , libnfnetlink, libnetfilter_queueés glib2 verziótól 101.25042.0003kezdődően az uuid-runtime már nem szükséges külső függőségként.

A telepítési problémák elhárítása

Ha telepítési problémákat tapasztal, az önkiszolgáló hibaelhárításhoz kövesse az alábbi lépéseket:

  1. A telepítési hiba esetén automatikusan generált napló megkereséséről a Naplótelepítési problémák című témakörben talál további információt.

  2. További információ a gyakori telepítési problémákról: Telepítési problémák.

  3. Ha az eszköz falseállapota , tekintse meg a Végponthoz készült Defender-ügynök állapotával kapcsolatos problémákat.

  4. A termék teljesítményével kapcsolatos problémákért lásd: Teljesítményproblémák elhárítása.

  5. A proxyval és a kapcsolattal kapcsolatos problémákért lásd: Felhőkapcsolati problémák elhárítása.

Ha támogatást szeretne kapni a Microsofttól, nyisson meg egy támogatási jegyet, és adja meg az ügyfélelemzővel létrehozott naplófájlokat.

Váltás csatornák között

Ha például a csatornát Insiders-Fast-ról Élesre szeretné váltani, tegye a következőket:

  1. Távolítsa el a Insiders-Fast channel Végponthoz készült Defender verzióját a Linux.

    sudo yum remove mdatp

  2. Tiltsa le a Végponthoz készült Defendert Linux Insiders-Fast adattárban.

    sudo yum repolist

    Megjegyzés:

    A kimenetben a következőnek kell megjelennie packages-microsoft-com-fast-prod: .

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Helyezze újra üzembe Végponthoz készült Microsoft Defender Linux az Éles csatorna használatával.

A végponthoz készült Defender a Linux az alábbi csatornák egyikéről telepíthető ([csatorna]):

  • insiders-fast
  • insiders-slow
  • prod

Ezen csatornák mindegyike egy Linux szoftveradattárnak felel meg. A cikkben található utasítások azt mutatják be, hogyan konfigurálhatja az eszközt ezen adattárak egyikének használatára.

A csatorna kiválasztása határozza meg az eszköz számára kínált frissítések típusát és gyakoriságát. Az insider-fast rendszerű eszközök kapnak először frissítéseket és új funkciókat, amelyeket később az insider-slow és végül a prod követ.

Az új funkciók előzetes verziójának megtekintéséhez és a korai visszajelzések küldéséhez javasoljuk, hogy a vállalat néhány eszközét a vagy insiders-slowa használatára insiders-fast konfigurálja.

Figyelmeztetés

Ha a kezdeti telepítés után vált a csatornára, újra kell telepíteni a terméket. A termékcsatorna váltásához: távolítsa el a meglévő csomagot, konfigurálja újra az eszközt az új csatorna használatára, és a jelen dokumentumban leírt lépéseket követve telepítse a csomagot az új helyről.

Szabályzatok konfigurálása Microsoft Defender Linux

A víruskereső és az EDR beállításainak konfigurálásához tekintse meg a következő cikkeket:

Kapcsolódó tartalom

  • Last updated on