カスタムの場所へのMicrosoft Defender for Endpointのデプロイを有効にする

Microsoft Defender ATP を試してみたいですか? 無料試用版にサインアップしてください。

概要

Linux 上のMicrosoft Defender for Endpointでは、カスタムの場所へのインストールがサポートされており、組織は特定の要件に基づいてエージェントを非標準の場所にデプロイできます。 この機能は、次のような環境で役立ちます。

• カスタム ディレクトリ構造と組織ポリシー
• ルート ファイルシステムの制限付き領域
• アプリケーションの配置に関する特定のコンプライアンス要件

既定では、Defender for Endpoint はディレクトリ /opt/microsoft/mdatpにインストールされます。 カスタムの場所のインストールでは、初期セットアップ中に別のベース ディレクトリを選択できます。 Defender for Endpoint では、指定した場所で同じ内部フォルダー構造が使用されます。 インストール後、選択した場所は固定されたままになり、その後のアップグレードでは元のカスタムの場所が引き続き使用されます。 後でインストール場所を変更することはサポートされていません。 別の場所を使用する必要がある場合は、Defender for Endpoint をアンインストールしてから、新しい場所に再インストールする必要があります。

前提条件とシステム要件

Defender for Endpoint をカスタムの場所に展開する前に、次の要件が満たされていることを確認してください。

前提条件

• カスタム インストール ディレクトリとそのツリー全体には、少なくとも rwxr-xr-x (755) のアクセス許可が必要です。

• ターゲットの場所には、十分なディスク領域が必要です (パフォーマンスの高いワークロードの場合は、2 GB 以上)。

• SELinux が有効になっている場合は、 semanage ツールをインストールして、カスタムの場所に適切なファイル コンテキストを設定する必要があります。

• セキュリティと信頼性の理由から、永続的で永続的にマウントされたローカル ファイルシステム上の場所にインストールすることを強くお勧めします。 リムーバブル メディア、ネットワーク マウント、またはシステム操作中にマウントを解除できるファイルシステムは使用しないでください。これは、Microsoft Defender for Endpointサービスエラーを引き起こし、セキュリティ リスクを引き起こす可能性があるためです。

サポートされているディストリビューションと機能の可用性

• カスタムの場所のインストールは、x64 アーキテクチャと ARM64 アーキテクチャの両方で サポートされているすべての Linux ディストリビューション でサポートされています。

• カスタムの場所機能は、Linux 上の Defender for Endpoint のバージョン 101.25062.0003 から使用できます。

カスタムの場所にインストールする手順

このセクションでは、サポートされているさまざまな方法を使用して Defender for Endpoint をカスタムの場所に展開するために必要な追加の手順について説明します。

• インストーラー スクリプト:

  推奨される方法は、インストール時に --install-path /your/custom/path オプションを使用してmde_installer.sh スクリプトを実行することです。 詳細については、 インストーラー スクリプトのデプロイ ガイドを参照してください。

• サード パーティの自動化ツール:

  Ansible、Chef、Puppet、SaltStack などのソリューションでは、インストール時に --install-path /your/custom/path オプションを使用してmde_installer.sh スクリプトを実行することでデプロイを自動化できます。 詳細については、 インストーラー スクリプトのデプロイ ガイドを参照してください。

• 手動インストール:

  手動セットアップを使用する場合は、カスタムの場所を準備するために、追加のプレインストール手順を実行する必要があります。 詳細な手順については、 次のセクション を参照してください。

手動インストール: プレインストールのセットアップ

手動デプロイ手順では、カスタムの場所のインストールを有効にするために、追加のプレインストール設定を完了する必要があります。 カスタムロケーションインストールのプレインストール設定の一部として、以下の手順に従います。

重要

カスタム インストール パスの新しい専用 (空) ディレクトリを選択することを強くお勧めします。 アンインストール/クリーンアップ中、プロセスはそのディレクトリとそのすべての内容を再帰的に削除しようとします。したがって、保持する必要がある他のデータを含む共有ディレクトリまたは既存のディレクトリを使用しないことが重要です。

1. カスタム パス変数を設定します。

   注:

   カスタム パスは絶対パスである必要があります (たとえば、 /your/custom/path)。 相対パスはサポートされていません。

   export CUSTOM_PATH="/your/custom/path"
   

2. 必要なディレクトリと構成ファイルを作成します。

   sudo mkdir -p "${CUSTOM_PATH}"
   sudo mkdir -p /etc/opt/microsoft/mdatp
   echo '{"path": "'${CUSTOM_PATH}'"}' | sudo tee /etc/opt/microsoft/mdatp/mde_path.json
   

3. アクセス許可の設定:

   sudo chmod 755 "${CUSTOM_PATH}"
   sudo chmod 644 /etc/opt/microsoft/mdatp/mde_path.json
   

4. symlink の作成:

    sudo ln -sf "${CUSTOM_PATH}/opt/microsoft/mdatp" /opt/microsoft/mdatp
   

次に、ディストリビューションの標準インストール手順に進みます。

アップグレードとメンテナンス

カスタムの場所にインストールされている Defender for Endpoint のアップグレードは、標準インストールと同じように機能します。インストーラーは、既存の場所と構成を自動的に保持します。

重要

アップグレード中のインストール パスの変更はサポートされていません。 インストール パスを変更する必要がある場合は、まず Defender for Endpoint をアンインストールしてから、新しい場所に再インストールする必要があります。

よく寄せられる質問

Defender for Endpoint を任意のディレクトリにインストールできますか?
はい。インストール場所へのパスが、少なくとも 755 のアクセス許可と十分な領域 (最小 2 GB) を持つ絶対パスである限り、

インストール後に Defender for Endpoint のインストール場所を変更できますか?
いいえ。別の場所を使用するには、アンインストールして再インストールする必要があります。

カスタムの場所で Defender for Endpoint をアップグレード操作方法?
通常のアップグレード コマンドを実行します。 インストール場所は変更されません。

アップグレード中にカスタムの場所を変更できますか?
いいえ。インストール場所の変更には、新しいインストールが必要です。

トラブルシューティング

1. インストール場所を確認する

• 実行中のプロセスを確認します。

  実行: ps aux | grep wdavdaemon。 出力には、microsoft_mdatpの wdavdaemon プロセス パスが含まれている必要があります。 以下に例を示します。

  root 747798 0.3 1.5 1037180 154336 ? Ssl 12:26 0:21 /var/tmp/TestInstall/microsoft_mdatp/opt/microsoft/mdatp/sbin/wdavdaemon
  root      747844  0.0  0.8 945692 79676 ?        Sl   12:26   0:04 /var/tmp/TestInstall/microsoft_mdatp/opt/microsoft/mdatp/sbin/wdavdaemon edr 16 15 --log_level info
  

• サービスの状態を確認します。

  次を実行します: systemctl status mdatp

  ● mdatp.service - Microsoft Defender
           Loaded: loaded (/lib/systemd/system/mdatp.service; enabled; vendor preset: enabled)
           Active: active (running) since ...
           Main PID: 747798 (wdavdaemon)
           ...
           CGroup: /system.slice/mdatp.service
                   ‣ 747798 /var/tmp/TestInstall/microsoft_mdatp/opt/microsoft/mdatp/sbin/wdavdaemon
  

• mde_path.json ファイルのカスタム インストール パスを確認します。

  • 原発： /etc/opt/microsoft/mdatp/mde_path.json
    • 例: {"path": "/var/tmp/TestInstall/microsoft_mdatp"}
    • 見つからない場合や形式が正しくない場合は、セカンダリ ファイルにフォールバックMicrosoft Defender for Endpoint。
  • 付帯： <custom_installation_path>/opt/microsoft/mdatp/conf/mde_path.json
    • プライマリ構成と一致する必要があります。
    • このファイルはインストール時に作成されます。
    • 不整合は、インストールの破損を示している可能性があります。
  • パスが絶対パスであることを確認します。

2. カスタムの場所へのシンボリック リンクを確認する

実行: ls -ltr /opt/microsoft/mdatp。 出力には、カスタムの場所へのシンボリック リンクとして /opt/microsoft/mdatp が表示されます。 以下に例を示します。

lrwxrwxrwx 1 root root ... /opt/microsoft/mdatp -> /var/tmp/TestInstall/microsoft_mdatp/opt/microsoft/mdatp

関連コンテンツ

• Linux 上の Defender for Endpoint の前提条件

• デプロイ方法:

  • インストーラー スクリプト ベースのデプロイ
  • Ansible ベースの展開
  • Chef ベースの展開
  • Puppet ベースの展開
  • Saltstack ベースの展開
  • Defender for Endpoint を使用して Azure 以外のマシンを Defender for Cloud に接続 する (Defender for Cloud を使用した直接オンボード)
  • Linux for SAP 用 Defender for Endpoint のデプロイ ガイダンス
  • Defender for Endpoint on Linux を手動でデプロイする

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。