Linux 用 Microsoft Defender for Endpoint を手動で展開する

適用対象:

• サーバーのMicrosoft Defender for Endpoint

Defender for Endpoint を試す場合は、 無料試用版にサインアップしてください。

さまざまなツールと方法を使用して 、Linux 上に Defender for Endpoint をデプロイできます。 この記事では、Defender for Endpoint on Linux を手動で展開する方法について説明します。 別の方法を使用するには、「 関連コンテンツ」セクションを参照してください。

重要

複数のセキュリティ ソリューションを並行して実行する場合は、「 パフォーマンス、構成、およびサポートに関する考慮事項」を参照してください。

既に、Microsoft Defender for Endpointにオンボードされているデバイスの相互セキュリティ除外を構成している可能性があります。 競合を回避するために相互除外を設定する必要がある場合は、「既存のソリューションの除外リストにMicrosoft Defender for Endpointを追加する」を参照してください。

手動デプロイ手順

展開を成功させるには、次のすべてのタスクを完了する必要があります。

• 前提条件とシステム要件
• Linux ソフトウェア リポジトリを構成する
  • RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)
  • SLES とバリエーション
  • Ubuntu および Debian システム
  • マリナー
• カスタムの場所のインストールのプレインストールのセットアップ
• アプリケーションのインストール
  • RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)
  • SLES とバリエーション
  • Ubuntu および Debian システム
  • マリナー
• オンボーディング パッケージをダウンロードする
• クライアント構成

前提条件とシステム要件

開始する前に、現在のソフトウェア バージョンの前提条件とシステム要件の説明については、「 Linux 上の Defender for Endpoint の前提条件」を参照してください。

警告

製品のインストール後にオペレーティング システムを新しいメジャー バージョンにアップグレードするには、製品を再インストールする必要があります。 この記事の手順に従って、既存の Defender for Endpoint on Linux アプリケーションを アンインストール し、オペレーティング システムをアップグレードしてから、Defender for Endpoint on Linux を再構成する必要があります。

Linux ソフトウェア リポジトリを構成する

Defender for Endpoint on Linux は、次のいずれかのチャネル ( [channel]) からデプロイできます。 insiders-fast、 insiders-slow、または prod。 これらの各チャネルは、Linux ソフトウェア リポジトリに対応しています。 この記事の手順では、これらのリポジトリのいずれかを使用するようにデバイスを構成する方法について説明します。

チャネルの選択により、デバイスに提供される更新プログラムの種類と頻度が決まります。 insiders-fast のデバイスは、更新プログラムと新機能を受け取る最初のデバイスであり、その後、インサイダーが遅く、最後にprodします。

新機能をプレビューし、早期フィードバックを提供するには、社内の一部のデバイスを 、Insider-fast または insider-slow を使用するように構成することをお勧めします。

警告

初期インストール後にチャネルを切り替えるには、製品を再インストールする必要があります。 製品チャネルを切り替えるには:既存のパッケージをアンインストールし、新しいチャネルを使用するようにデバイスを再構成し、このドキュメントの手順に従って新しい場所からパッケージをインストールします。

RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)

1. まだインストールされていない場合は、yum-utils をインストールします。

   sudo yum install yum-utils
   

2. ディストリビューションとバージョンに適したパッケージを見つけます。 次の表を使用して、パッケージを見つけるのに役立ててください。

   ディストリビューションとバージョン	パッケージ
   アルマ8.4以降	https://packages.microsoft.com/config/alma/8/prod.repo
   アルマ9.2以降	https://packages.microsoft.com/config/alma/9/prod.repo
   RHEL/Centos/Oracle 9.0-9.8	https://packages.microsoft.com/config/rhel/9/prod.repo
   RHEL/Centos/Oracle 8.0-8.10	https://packages.microsoft.com/config/rhel/8/prod.repo
   RHEL/Centos/Oracle 7.2-7.9	https://packages.microsoft.com/config/rhel/7.2/prod.repo
   Amazon Linux 2	https://packages.microsoft.com/config/amazonlinux/2/prod.repo
   Amazon Linux 2023	https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
   Fedora 33	https://packages.microsoft.com/config/fedora/33/prod.repo
   Fedora 34	https://packages.microsoft.com/config/fedora/34/prod.repo
   ロッキー 8.7 以上	https://packages.microsoft.com/config/rocky/8/prod.repo
   ロッキー 9.2 以上	https://packages.microsoft.com/config/rocky/9/prod.repo

   注:

   ディストリビューションとバージョンについては、 https://packages.microsoft.com/config/rhel/の下の最も近いエントリ (メジャー、マイナー) を特定します。

   ヒント

   Ksplice などのオンライン カーネル パッチ適用ツールは、Defender for Endpoint が実行されている場合、予期しない OS の安定性につながる可能性があります。 オンラインカーネルパッチ適用を実行する前に、Defender for Endpoint デーモンを一時的に停止することをお勧めします。 カーネルが更新されると、Defender for Endpoint on Linux を安全に再起動できます。 このアクションは、Oracle Linux を実行しているシステムで特に重要です。

3. 次のコマンドで、[バージョン] と [チャネル] を特定した情報に置き換えます。

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
   

   ヒント

   hostnamectl コマンドを使用して、リリース [バージョン] を含むシステム関連情報を識別します。

   たとえば、CentOS 7 を実行していて、 prod チャネルから Defender for Endpoint on Linux をデプロイする場合は、次のようになります。

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
   

   または、選択したデバイスの新機能を調べる場合は、Defender for Endpoint on Linux を insiders-fast チャネルにデプロイすることもできます。

   sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
   

4. Microsoft GPG 公開キーをインストールします。

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

SLES とバリエーション

注:

ディストリビューションとバージョンについては、 https://packages.microsoft.com/config/sles/の下の最も近いエントリ (メジャー、マイナー) を特定します。

1. 次のコマンドで、[ディストリビューション] と [バージョン] を特定した情報に置き換えます。

   sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
   

   ヒント

   SPident コマンドを使用して、リリース [バージョン] を含むシステム関連情報を特定します。

   たとえば、SLES 12 を実行していて、 prod チャネルから Defender for Endpoint on Linux をデプロイする場合は、次のようになります。

   sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
   

2. Microsoft GPG 公開キーをインストールします。

   sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
   

Ubuntu および Debian システム

1. まだインストールされていない場合は、curl をインストールします。

   sudo apt install curl
   

2. まだインストールされていない場合は、libplist-utils をインストールします。

   sudo apt install libplist-utils
   

   注:

   ディストリビューションとバージョンについては、 https://packages.microsoft.com/config/[distro]/の下の最も近いエントリ (メジャー、マイナー) を特定します。

3. 次のコマンドで、[ distro] と [version] を 特定した情報に置き換えます。

   curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
   

   ヒント

   hostnamectl コマンドを使用して、リリース [バージョン] を含むシステム関連情報を識別します。

   たとえば、Ubuntu 18.04 を実行していて、 prod チャネルから Defender for Endpoint on Linux をデプロイする場合は、次のようになります。

   curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
   

4. リポジトリ構成をインストールします。

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
   

   たとえば、チャネル prod 選択した場合は、次のようになります。

   sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
   

5. まだインストールされていない場合は、gpg パッケージをインストールします。

   sudo apt install gpg
   

   gpgが使用できない場合は、gnupgをインストールします。

   sudo apt install gnupg
   

6. Microsoft GPG 公開キーをインストールします。

   • Debian 11/Ubuntu 22.04 以前の場合は、次のコマンドを実行します。

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
     

   • Debian 12、Ubuntu 24.04 以降の場合は、次のコマンドを実行します。

     curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
     

   • Debian 13 以降の場合は、次のコマンドを実行します。

     curl -sSL https://packages.microsoft.com/keys/microsoft-2025.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
     

7. まだインストールされていない場合は、HTTPS ドライバーをインストールします。

   sudo apt install apt-transport-https
   

8. リポジトリ メタデータを更新します。

   sudo apt update
   

マリナー

1. まだインストールされていない場合は、dnf-plugins-core をインストールします。

   sudo dnf install dnf-plugins-core
   

2. 必要なリポジトリを構成して有効にします。

   注:

   Mariner では、Insider Fast Channel は使用できません。

   prod チャネルから Defender for Endpoint on Linux を展開する場合。 次のコマンドを使用します

   sudo dnf install mariner-repos-extras
   sudo dnf config-manager --enable mariner-official-extras
   

   または、選択したデバイスの新機能を調べる場合は、Defender for Endpoint on Linux を Insider の低速 チャネルにデプロイすることもできます。 次のコマンドを使用します。

   sudo dnf install mariner-repos-extras-preview
   sudo dnf config-manager --enable mariner-official-extras-preview
   

カスタムの場所のインストールのプレインストールのセットアップ

これらの手順は、Defender をカスタムの場所にインストールする場合にのみ適用されます。 カスタムの場所にMicrosoft Defender for Endpointをインストールする方法の詳細については、「手動インストール: プレインストールのセットアップ」を参照してください。

カスタムの場所へのインストールの詳細については、カスタムの場所への Defender for Endpoint on Linux のデプロイの有効化に関するページを参照してください。

アプリケーションのインストール

次のセクションのコマンドを使用して、Linux ディストリビューションに Defender for Endpoint をインストールします。

RHEL とバリアント (CentOS、Fedora、Oracle Linux、Amazon Linux 2、ロッキー、アルマ)

sudo yum install mdatp

注:

デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-fast リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。 サーバーのディストリビューションとバージョンによっては、リポジトリ エイリアスが次の例のものと異なる場合があります。

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES とバリエーション

sudo zypper install mdatp

注:

デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-fast リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu および Debian システム

sudo apt install mdatp

注:

デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-fast リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

注:

変更できないモードで auditD を実行している場合を除き、Linux にMicrosoft Defender for Endpointをインストールまたは更新した後に再起動する必要はありません。

マリナー

sudo dnf install mdatp

注:

デバイスに複数の Microsoft リポジトリが構成されている場合は、パッケージのインストール元のリポジトリを指定できます。 次の例は、このデバイスで insiders-slow リポジトリ チャネルも構成されている場合に、production チャネルからパッケージをインストールする方法を示しています。 この状況は、デバイスで複数の Microsoft 製品を使用している場合に発生する可能性があります。

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

オンボーディング パッケージをダウンロードする

Microsoft Defender ポータルからオンボード パッケージをダウンロードします。

警告

Defender for Endpoint インストール パッケージの再パッケージ化は、サポートされているシナリオではありません。 これにより、製品の整合性に悪影響を及ぼし、改ざんアラートや更新プログラムの適用に失敗したトリガーなど、悪影響を及ぼす可能性があります。

重要

この手順を実行しないと、実行されたすべてのコマンドに、製品がライセンスされていないことを示す警告メッセージが表示されます。 また、 mdatp health コマンドは false の値を返します。

1. Microsoft Defender ポータルで、設定>Endpoints>Device Management>Onboarding に移動します。

2. 最初のドロップダウン メニューで、オペレーティング システムとして [Linux サーバー] を選択します。 2 番目のドロップダウン メニューで、展開方法として [ローカル スクリプト] を選択します。

3. [オンボーディング パッケージをダウンロードする] を選択します。 ファイルを WindowsDefenderATPOnboardingPackage.zipとして保存します。

   

4. コマンド プロンプトから、ファイルがあることを確認し、アーカイブの内容を抽出します。

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
   

クライアントの構成

1. ターゲット デバイスに MicrosoftDefenderATPOnboardingLinuxServer.py をコピーします。

   注:

   最初に、クライアント デバイスはorganizationに関連付けられていないので、orgId 属性は空白です。

   mdatp health --field org_id
   

2. シナリオに応じて、次のいずれかのコマンドを実行します。

   注:

   このコマンドを実行するには、ディストリビューションとバージョンに応じて、デバイスに python または python3 がインストールされている必要があります。 必要に応じて、「 Linux に Python をインストールする手順」を参照してください。

   RHEL 8.x または Ubuntu 20.04 以降を実行している場合は、 python3を使用する必要があります。 次のコマンドを実行します。

   sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
   

   その他のディストリビューションとバージョンの場合は、 pythonを使用する必要があります。 次のコマンドを実行します。

   sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
   

3. デバイスが組織に関連付けられていることを確認し、有効な組織 ID を報告します。

   mdatp health --field org_id
   

4. 次のコマンドを実行して、製品の正常性状態を確認します。 true の戻り値は、製品が期待どおりに機能していることを示します。

   mdatp health --field healthy
   

   重要

   製品が初めて起動すると、最新のマルウェア対策定義がダウンロードされます。 このプロセスは、ネットワーク接続によっては数分かかる場合があります。 この間、前述のコマンドは false の値を返します。 次のコマンドを使用して、定義の更新の状態を確認できます。

   mdatp health --field definitions_status
   

   また、最初のインストールが完了した後にプロキシを構成する必要がある場合もあります。 「静的プロキシ検出のための Linux 用 Defender for Endpoint の構成: インストール後の構成」を参照してください。

5. ウイルス対策検出テストを実行して、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

   1. リアルタイム保護が有効になっていることを確認します (true が次のコマンドを実行した結果として示されます)。

      mdatp health --field real_time_protection_enabled
      

      有効になっていない場合は、次のコマンドを実行します。

      mdatp config real-time-protection --value enabled
      

   2. 検出テストを実行するには、ターミナル ウィンドウを開き、次のコマンドを実行します。

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. 次のいずれかのコマンドを使用して、zip ファイルでより多くの検出テストを実行できます。

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

      ファイルは、Linux 上の Defender for Endpoint によって検疫する必要があります。

   4. 次のコマンドを使用して、検出されたすべての脅威を一覧表示します。

      mdatp threat list
      

6. EDR 検出テストを実行し、検出をシミュレートして、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

   1. オンボードされた Linux サーバーがMicrosoft Defender XDRに表示されることを確認します。 これがマシンの最初のオンボーディングである場合、表示されるまで最大 20 分かかります。

   2. オンボードされた Linux サーバーに スクリプト ファイル をダウンロードして抽出し、次のコマンドを実行します。 ./mde_linux_edr_diy.sh

      数分後、Microsoft Defender XDRで検出を発生させる必要があります。

   3. アラートの詳細、マシンのタイムラインを確認し、一般的な調査手順を実行します。

外部パッケージの依存関係

詳細については、「Linux 上のMicrosoft Defender for Endpointの前提条件: 外部パッケージの依存関係」を参照してください。

インストールに関する問題のトラブルシューティング

インストールの問題が発生した場合は、自己トラブルシューティングのために、次の手順に従います。

1. インストール エラーが発生したときに自動的に生成されるログを検索する方法については、「 ログのインストールの問題」を参照してください。

2. 一般的なインストールの問題については、「 インストールの問題」を参照してください。

3. デバイスの正常性が falseされている場合は、「 Defender for Endpoint エージェントの正常性に関する問題」を参照してください。

4. 製品のパフォーマンスの問題については、「 パフォーマンスの問題のトラブルシューティング」を参照してください。

5. プロキシと接続の問題については、「 クラウド接続の問題のトラブルシューティング」を参照してください。

Microsoft からサポートを受けるために、サポート チケットを開き、 クライアント アナライザーを使用して作成されたログ ファイルを指定します。

チャネルを切り替える方法

たとえば、チャネルを Insiders-Fast から運用環境に変更するには、次の操作を行います。

1. Insiders-Fast channel バージョンの Defender for Endpoint on Linux をアンインストールします。

   sudo yum remove mdatp
   

2. Linux Insiders-Fast チャネルで Defender for Endpoint を無効にする

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Production channelを使用して Linux にMicrosoft Defender for Endpointを再インストールし、Microsoft Defender ポータルでデバイスをオンボードします。

Linux 上の Defender for Endpoint のポリシーを構成する方法

ウイルス対策と EDR の設定を構成するには、次の記事を参照してください。

• Defender for Endpoint セキュリティ設定管理では、Microsoft Defender ポータルで設定を構成する方法について説明します。 (このメソッドをお勧めします)。
• Linux 上の Defender for Endpoint の設定 設定では、構成できる設定について説明します。

Linux 上の Defender for Endpoint をアンインストールする

手動アンインストールの場合は、Linux ディストリビューションに対して次のコマンドを実行します。

• sudo yum remove mdatp RHEL とバリアント (CentOS および Oracle Linux) の場合。
• sudo zypper remove mdatp SLES とバリアントの場合。
• sudo apt purge mdatp Ubuntu および Debian システムの場合。
• sudo dnf remove mdatp マリナー用

関連コンテンツ

• Linux 上の Defender for Endpoint の前提条件

• その他のデプロイ方法:

  • インストーラー スクリプト ベースのデプロイ
  • Ansible ベースの展開
  • Chef ベースの展開
  • Puppet ベースの展開
  • Saltstack ベースの展開
  • Defender for Endpoint を使用して、Azure以外のマシンを Defender for Cloud に接続する (Defender for Cloud を使用した直接オンボード)
  • Linux for SAP 用 Defender for Endpoint のデプロイ ガイダンス
  • Linux 上の Defender for Endpoint をカスタムの場所にインストールする

ヒント

さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。