Distribuire manualmente Microsoft Defender per endpoint in Linux

  • Articolo

Si applica a:

Si desidera provare Microsoft Defender per endpoint? iscriversi a una versione di valutazione gratuita.

Consiglio

Alla ricerca di indicazioni avanzate sulla distribuzione di Microsoft Defender per endpoint in Linux? Vedere Guida alla distribuzione avanzata in Defender per endpoint in Linux.

Questo articolo descrive come distribuire manualmente Microsoft Defender per endpoint in Linux. Una distribuzione riuscita richiede il completamento di tutte le attività seguenti:

Prerequisiti e requisiti di sistema

Prima di iniziare, vedere Microsoft Defender per endpoint in Linux per una descrizione dei prerequisiti e dei requisiti di sistema per la versione software corrente.

Avviso

L'aggiornamento del sistema operativo a una nuova versione principale dopo l'installazione del prodotto richiede la reinstallazione del prodotto. È necessario disinstallare defender per endpoint esistente in Linux, aggiornare il sistema operativo e quindi riconfigurare Defender per endpoint in Linux seguendo la procedura seguente.

Configurare il repository software Linux

Defender per endpoint in Linux può essere distribuito da uno dei canali seguenti (indicati di seguito come [canale]): insiders-fast, insiders-slow o prod. Ognuno di questi canali corrisponde a un repository software Linux. Le istruzioni in questo articolo descrivono la configurazione del dispositivo per l'uso di uno di questi repository.

La scelta del canale determina il tipo e la frequenza degli aggiornamenti offerti al dispositivo. I dispositivi in insider-fast sono i primi a ricevere aggiornamenti e nuove funzionalità, seguiti in seguito da insider-slow e infine da prod.

Per visualizzare in anteprima le nuove funzionalità e fornire feedback anticipato, è consigliabile configurare alcuni dispositivi nell'organizzazione per usare i partecipanti ai lavori in modo rapido o lento.

Avviso

Il cambio di canale dopo l'installazione iniziale richiede la reinstallazione del prodotto. Per cambiare il canale del prodotto: disinstallare il pacchetto esistente, riconfigurare il dispositivo per usare il nuovo canale e seguire la procedura descritta in questo documento per installare il pacchetto dal nuovo percorso.

Script del programma di installazione

Mentre si discute dell'installazione manuale, in alternativa, è possibile usare uno script bash del programma di installazione automatizzato fornito nel repository GitHub pubblico. Lo script identifica la distribuzione e la versione, semplifica la selezione del repository corretto, configura il dispositivo per eseguire il pull del pacchetto più recente e combina i passaggi di installazione e onboarding del prodotto.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Altre informazioni sono disponibili qui.

RHEL e varianti (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)

SLES e varianti

Nota

La distribuzione e la versione e identificano la voce più vicina (per principale, quindi secondaria) in https://packages.microsoft.com/config/sles/.

Nei comandi seguenti sostituire [distro] e [version] con le informazioni identificate:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Consiglio

Usare il comando SPident per identificare le informazioni correlate al sistema, inclusa la versione [versione].

Ad esempio, se si esegue SLES 12 e si vuole distribuire Microsoft Defender per endpoint in Linux dal canale prod:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • Installare la chiave pubblica di Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Sistemi Ubuntu e Debian

  • Installare curl se non è ancora installato:

    sudo apt-get install curl

  • Installare libplist-utils se non è ancora installato:

    sudo apt-get install libplist-utils

    Nota

    La distribuzione e la versione e identificano la voce più vicina (per principale, quindi secondaria) in https://packages.microsoft.com/config/[distro]/.

    Nel comando seguente sostituire [distro] e [version] con le informazioni identificate:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Consiglio

    Usare il comando hostnamectl per identificare le informazioni correlate al sistema, inclusa la versione [versione].

    Ad esempio, se si esegue Ubuntu 18.04 e si vuole distribuire Microsoft Defender per endpoint in Linux dal canale prod:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • Installare la configurazione del repository:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Ad esempio, se si sceglie il canale prod :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • Installare il gpg pacchetto se non è già installato:

    sudo apt-get install gpg

    Se gpg non è disponibile, installare gnupg.

    sudo apt-get install gnupg

  • Installare la chiave pubblica di Microsoft GPG:

    • Per Debian 11 e versioni precedenti, eseguire il comando seguente.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

Per Debian 12 e versioni successive, eseguire il comando seguente.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • Installare il driver HTTPS se non è già installato:

    sudo apt-get install apt-transport-https

  • Aggiornare i metadati del repository:

    sudo apt-get update

Mariner

  • Installare dnf-plugins-core se non è ancora installato:

    sudo dnf install dnf-plugins-core

  • Configurare e abilitare i repository necessari

    Nota

    In Mariner, Insider Fast Channel non è disponibile.

    Se si vuole distribuire Defender per endpoint in Linux dal canale prod . Usare i comandi seguenti

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    In alternativa, se si vogliono esplorare nuove funzionalità in dispositivi selezionati, è possibile distribuire Microsoft Defender per endpoint in Linux in un canale lento per insider. Usare i comandi seguenti:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Installazione dell'applicazione

RHEL e varianti (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky e Alma)

sudo yum install mdatp

Nota

Se nel dispositivo sono configurati più repository Microsoft, è possibile specificare il repository da cui installare il pacchetto. L'esempio seguente illustra come installare il pacchetto dal production canale se nel dispositivo è configurato anche il canale del insiders-fast repository. Questa situazione può verificarsi se si usano più prodotti Microsoft nel dispositivo. A seconda della distribuzione e della versione del server, l'alias del repository potrebbe essere diverso da quello nell'esempio seguente.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES e varianti

sudo zypper install mdatp

Nota

Se nel dispositivo sono configurati più repository Microsoft, è possibile specificare il repository da cui installare il pacchetto. L'esempio seguente illustra come installare il pacchetto dal production canale se nel dispositivo è configurato anche il canale del insiders-fast repository. Questa situazione può verificarsi se si usano più prodotti Microsoft nel dispositivo.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Sistemi Ubuntu e Debian

sudo apt-get install mdatp

Nota

Se nel dispositivo sono configurati più repository Microsoft, è possibile specificare il repository da cui installare il pacchetto. L'esempio seguente illustra come installare il pacchetto dal production canale se nel dispositivo è configurato anche il canale del insiders-fast repository. Questa situazione può verificarsi se si usano più prodotti Microsoft nel dispositivo.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Nota

I riavvii NON sono necessari dopo l'installazione o l'aggiornamento Microsoft Defender per endpoint in Linux, tranne quando si esegue auditD in modalità non modificabile.

Mariner

sudo dnf install mdatp

Nota

Se nel dispositivo sono configurati più repository Microsoft, è possibile specificare il repository da cui installare il pacchetto. L'esempio seguente illustra come installare il pacchetto dal production canale se nel dispositivo è configurato anche il canale del insiders-slow repository. Questa situazione può verificarsi se si usano più prodotti Microsoft nel dispositivo.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Scaricare il pacchetto di onboarding

Scaricare il pacchetto di onboarding dal portale di Microsoft Defender.

Avviso

Il riconfezionamento del pacchetto di installazione di Defender per endpoint non è uno scenario supportato. Ciò può influire negativamente sull'integrità del prodotto e portare a risultati negativi, tra cui, a titolo esemplificabile, l'attivazione di avvisi di manomissione e l'impossibilità di applicare gli aggiornamenti.

Importante

Se si perde questo passaggio, qualsiasi comando eseguito visualizzerà un messaggio di avviso che indica che il prodotto non è concesso in licenza. Inoltre, il mdatp health comando restituisce un valore di false.

  1. Nel portale di Microsoft Defender passare a Impostazioni > Endpoint Gestione > dispositivi > Onboarding.

  2. Nel primo menu a discesa selezionare Server Linux come sistema operativo. Nel secondo menu a discesa selezionare Script locale come metodo di distribuzione.

  3. Selezionare Scarica pacchetto di onboarding. Salvare il file come WindowsDefenderATPOnboardingPackage.zip.

    Download di un pacchetto di onboarding nel portale di Microsoft Defender

  4. Da un prompt dei comandi verificare di avere il file ed estrarre il contenuto dell'archivio:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Configurazione client

  1. Copiare MicrosoftDefenderATPOnboardingLinuxServer.py nel dispositivo di destinazione.

    Nota

    Inizialmente il dispositivo client non è associato a un'organizzazione e l'attributo orgId è vuoto.

    mdatp health --field org_id

  2. Eseguire MicrosoftDefenderATPOnboardingLinuxServer.py.

    Nota

    Per eseguire questo comando, è necessario avere python o python3 installato nel dispositivo a seconda della distribuzione e della versione. Se necessario, vedere Istruzioni dettagliate per l'installazione di Python in Linux.

    Nota

    Per eseguire l'onboarding di un dispositivo precedentemente offboarding, è necessario rimuovere il file mdatp_offboard.json disponibile in /etc/opt/microsoft/mdatp.

    Se si esegue RHEL 8.x o Ubuntu 20.04 o versione successiva, è necessario usare python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    Per il resto delle distribuzioni e delle versioni, è necessario usare python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Verificare che il dispositivo sia ora associato all'organizzazione e segnala un identificatore dell'organizzazione valido:

    mdatp health --field org_id

  4. Controllare lo stato di integrità del prodotto eseguendo il comando seguente. Un valore restituito di true indica che il prodotto funziona come previsto:

    mdatp health --field healthy

    Importante

    Quando il prodotto viene avviato per la prima volta, scarica le definizioni antimalware più recenti. Questa operazione può richiedere alcuni minuti a seconda della connettività di rete. Durante questo periodo il comando precedente restituisce un valore di false. È possibile controllare lo stato dell'aggiornamento delle definizioni usando il comando seguente:

    mdatp health --field definitions_status

    Si noti che potrebbe anche essere necessario configurare un proxy dopo aver completato l'installazione iniziale. Vedere Configurare Defender per endpoint in Linux per l'individuazione del proxy statico: configurazione post-installazione.

  5. Eseguire un test di rilevamento av per verificare che il dispositivo sia stato correttamente caricato e che il servizio venga segnalato. Seguire questa procedura nel nuovo dispositivo di cui è stato eseguito l'onboarding:

    • Assicurarsi che la protezione in tempo reale sia abilitata (indicata da un risultato dell'esecuzione del true comando seguente):

      mdatp health --field real_time_protection_enabled

      Se non è abilitato, eseguire il comando seguente:

      mdatp config real-time-protection --value enabled

    • Aprire una finestra terminale ed eseguire il comando seguente per eseguire un test di rilevamento:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • È possibile eseguire test di rilevamento aggiuntivi sui file ZIP usando uno dei comandi seguenti:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    • I file devono essere messi in quarantena da Defender per endpoint in Linux. Usare il comando seguente per elencare tutte le minacce rilevate:

      mdatp threat list

  6. Eseguire un test di rilevamento EDR e simulare un rilevamento per verificare che il dispositivo sia stato correttamente caricato e che il servizio venga segnalato. Seguire questa procedura nel nuovo dispositivo di cui è stato eseguito l'onboarding:

  • Verificare che il server Linux di cui è stato effettuato l'onboarding sia visualizzato in Microsoft Defender XDR. Se si tratta del primo onboarding del computer, possono essere necessari fino a 20 minuti prima che venga visualizzato.

    • Scaricare ed estrarre il file di script in un server Linux di cui è stato eseguito l'onboarding ed eseguire il comando seguente: ./mde_linux_edr_diy.sh

    • Dopo alcuni minuti, un rilevamento deve essere generato in Microsoft Defender XDR.

    • Esaminare i dettagli dell'avviso, la sequenza temporale del computer ed eseguire i passaggi di indagine tipici.

Microsoft Defender per endpoint dipendenze del pacchetto esterno del pacchetto

Esistono le dipendenze del pacchetto esterno seguenti per il pacchetto mdatp:

  • Il pacchetto RPM mdatp richiede "glibc >= 2.17", "audit", "policycoreutils", "semanage" "selinux-policy-targeted", "mde-netfilter"
  • Per RHEL6 il pacchetto RPM mdatp richiede "audit", "policycoreutils", "libselinux", "mde-netfilter"
  • Per DEBIAN il pacchetto mdatp richiede "libc6 >= 2.23", "uuid-runtime", "auditd", "mde-netfilter"
  • Per Mariner il pacchetto mdatp richiede "attr", "audit", "diffutils", "libacl", "libattr", "libselinux-utils", "selinux-policy", "policycoreutils", "mde-netfilter"

Il pacchetto mde-netfilter presenta anche le dipendenze del pacchetto seguenti:

  • Per DEBIAN, il pacchetto mde-netfilter richiede "libnetfilter-queue1", "libglib2.0-0"
  • Per RPM, il pacchetto mde-netfilter richiede "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
  • Per Mariner, il pacchetto mde-netfilter richiede "libnfnetlink", "libnetfilter_queue"

Se l'installazione Microsoft Defender per endpoint ha esito negativo a causa di errori di dipendenze mancanti, è possibile scaricare manualmente le dipendenze dei prerequisiti.

Problemi di installazione del log

Per altre informazioni su come trovare il log generato automaticamente creato dal programma di installazione quando si verifica un errore, vedere Problemi di installazione del log.

Come eseguire la migrazione da Insiders-Fast al canale di produzione

  1. Disinstallare la versione "Insiders-Fast channel" di Defender per endpoint in Linux.

    sudo yum remove mdatp

  2. Disabilitare il repository defender per endpoint in Linux Insiders-Fast

    sudo yum repolist

    Nota

    L'output dovrebbe mostrare "packages-microsoft-com-fast-prod".

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Ridistribuire Microsoft Defender per endpoint in Linux usando il "canale di produzione".

Disinstallazione

Vedere Disinstallare per informazioni dettagliate su come rimuovere Defender per endpoint in Linux dai dispositivi client.

Vedere anche

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.