インストーラー スクリプト ベースのデプロイを使用して Linux にMicrosoft Defender for Endpointをデプロイする

概要

さまざまなツールと方法を使用して 、Linux 上に Defender for Endpoint をデプロイできます。 この記事では、インストーラー スクリプトを使用して、Linux 上の Defender for Endpoint のデプロイを自動化する方法について説明します。 このスクリプトは、ディストリビューションとバージョンを識別し、適切なリポジトリを選択し、最新のエージェント バージョンをプルするようにデバイスを設定し、オンボード パッケージを使用してデバイスを Defender for Endpoint にオンボードします。 この方法は、デプロイ プロセスを簡略化するために強くお勧めします。

別の方法を使用するには、「 関連コンテンツ」セクションを参照してください。

重要

複数のセキュリティ ソリューションを並行して実行する場合は、「 パフォーマンス、構成、およびサポートに関する考慮事項」を参照してください。

既に、Microsoft Defender for Endpointにオンボードされているデバイスの相互セキュリティ除外を構成している可能性があります。 競合を回避するために相互除外を設定する必要がある場合は、「既存のソリューションの除外リストにMicrosoft Defender for Endpointを追加する」を参照してください。

前提条件とシステム要件

作業を開始する前に、前提条件とシステム要件の説明については、「 Linux 上の Defender for Endpoint の前提条件」を参照してください。

展開プロセス

1. 次の手順に従って、Microsoft Defender ポータルからオンボード パッケージをダウンロードします。

   1. Microsoft Defender ポータルで、[システム] セクションを展開し、[設定>Endpoints>Device management>Onboarding] を選択します。

   2. 最初のドロップダウン メニューで、オペレーティング システムとして [Linux サーバー] を選択します。

   3. 2 番目のドロップダウン メニューで、展開方法として [ローカル スクリプト] を選択します。

   4. [オンボーディング パッケージをダウンロードする] を選択します。 ファイルを WindowsDefenderATPOnboardingPackage.zipとして保存します。

      

   5. コマンド プロンプトから、アーカイブの内容を抽出します。

      unzip WindowsDefenderATPOnboardingPackage.zip
      

      Archive:  WindowsDefenderATPOnboardingPackage.zip
      inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
      

      警告

      Defender for Endpoint インストール パッケージの再パッケージ化は、サポートされているシナリオではありません。 これにより、製品の整合性に悪影響を及ぼし、改ざんアラートのトリガーや更新プログラムの適用に失敗するなど、悪影響を及ぼす可能性があります。

      重要

      この手順を実行しないと、実行されたすべてのコマンドに、製品がライセンスされていないことを示す警告メッセージが表示されます。 また、mdatp 正常性コマンドは false の値を返します。

2. パブリック GitHub リポジトリに用意されているインストーラー bash スクリプトをダウンロードします。

3. インストーラー スクリプトに実行可能なアクセス許可を付与します。

   chmod +x mde_installer.sh
   

4. インストーラー スクリプトを実行し、オンボード パッケージをパラメーターとして指定してエージェントをインストールし、デバイスを Defender ポータルにオンボードします。

   sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req
   

   このコマンドは、最新のエージェント バージョンを運用チャネルにデプロイし、最小システムの必要条件をチェックし、デバイスを Defender Portal にオンボードします。

   さらに、インストールを変更するための要件に基づいて、より多くのパラメーターを渡すことができます。 使用可能なすべてのオプションのヘルプを確認します。

    ❯ ./mde_installer.sh --help
   mde_installer.sh v0.7.0
   usage: basename ./mde_installer.sh [OPTIONS]
   Options:
   -c|--channel         specify the channel(insiders-fast / insiders-slow / prod) from which you want to install. Default: prod
   -i|--install         install the product
   -r|--remove          uninstall the product
   -u|--upgrade         upgrade the existing product to a newer version if available
   -l|--downgrade       downgrade the existing product to a older version if available
   -o|--onboard         onboard the product with <onboarding_script>
   -f|--offboard        offboard the product with <offboarding_script>
   -p|--passive-mode    set real time protection to passive mode
   -a|--rtp-mode        set real time protection to active mode. passive-mode and rtp-mode are mutually exclusive
   -t|--tag             set a tag by declaring <name> and <value>, e.g: -t GROUP Coders
   -m|--min_req         enforce minimum requirements
   -x|--skip_conflict   skip conflicting application verification
   -w|--clean           remove repo from package manager for a specific channel
   -y|--yes             assume yes for all mid-process prompts (default, deprecated)
   -n|--no              remove assume yes sign
   -s|--verbose         verbose output
   -v|--version         print out script version
   -d|--debug           set debug mode
   --log-path <PATH>    also log output to PATH
   --http-proxy <URL>   set http proxy
   --https-proxy <URL>  set https proxy
   --ftp-proxy <URL>    set ftp proxy
   --mdatp              specific version of mde to be installed. will use the latest if not provided
   -b|--install-path    specify the installation and configuration path for MDE. Default: /
   -h|--help            display help
   

   シナリオ	command
   カスタム パスの場所へのインストール	sudo ./mde_installer.sh --install --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --channel prod --min_req --install-path /custom/path/location
   特定のエージェント バージョンをインストールする	sudo ./mde_installer.sh --install --channel prod --onboard ./MicrosoftDefenderATPOnboardingLinuxServer.py --min_req –-mdatp 101.24082.0004
   最新のエージェント バージョンにアップグレードする	sudo ./mde_installer.sh --upgrade
   特定のエージェント バージョンにアップグレードする	sudo ./mde_installer.sh --upgrade –-mdatp 101.24082.0004
   特定のエージェント バージョンへのダウングレード	sudo ./mde_installer.sh --downgrade –-mdatp 101.24082.0004
   エージェントのアンインストール	sudo ./mde_installer.sh --remove

   カスタム パスへのインストールの詳細については、「 Linux 上の Defender for Endpoint をカスタム パスにインストールする」を参照してください。

   注:

   1. 製品のインストール後にオペレーティング システムを新しいメジャー バージョンにアップグレードするには、製品を再インストールする必要があります。 既存の Defender for Endpoint on Linux をアンインストールし、オペレーティング システムをアップグレードしてから、Linux 上の Defender for Endpoint を再構成する必要があります。

   2. Defender for Endpoint のインストール後にインストール パスを変更することはできません。 別のパスを使用するには、新しい場所で製品をアンインストールして再インストールします。

デプロイの状態を確認する

1. Microsoft Defender ポータルで、デバイス インベントリを開きます。 デバイスがポータルに表示されるまでに 5 ~ 20 分かかる場合があります。

2. ウイルス対策検出テストを実行して、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

   1. リアルタイム保護が有効になっていることを確認します (true が次のコマンドを実行した結果として示されます)。

      mdatp health --field real_time_protection_enabled
      

      有効になっていない場合は、次のコマンドを実行します。

      mdatp config real-time-protection --value enabled
      

   2. ターミナル ウィンドウを開き、次のコマンドを実行して検出テストを実行します。

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
      

   3. 次のいずれかのコマンドを使用して、zip ファイルでより多くの検出テストを実行できます。

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
      curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
      

   4. ファイルは、Linux 上の Defender for Endpoint によって検疫する必要があります。 次のコマンドを使用して、検出されたすべての脅威を一覧表示します。

      mdatp threat list
      

3. EDR 検出テストを実行し、検出をシミュレートして、デバイスが適切にオンボードされ、サービスに報告されていることを確認します。 新しくオンボードされたデバイスで次の手順を実行します。

   1. オンボードされた Linux サーバーに スクリプト ファイル をダウンロードして抽出します。

   2. スクリプトに実行可能なアクセス許可を付与します。

      chmod +x mde_linux_edr_diy.sh
      

   3. 次のコマンドを実行します。

      ./mde_linux_edr_diy.sh
      

   4. 数分後、Microsoft Defender XDRで検出を発生させる必要があります。

   5. アラートの詳細、コンピューターのタイムラインを確認し、一般的な調査手順を実行します。

パッケージ外部パッケージの依存関係をMicrosoft Defender for Endpointする

依存関係エラーが見つからないためにMicrosoft Defender for Endpointのインストールが失敗した場合は、必要な依存関係を手動でダウンロードできます。

mdatp パッケージには、次の外部パッケージの依存関係があります。

• mdatp RPM パッケージには、 が必要です。glibc >= 2.17
• DEBIAN の場合、 mdatp パッケージには libc6 >= 2.23
• Mariner の場合、 mdatp パッケージには、 attr、diffutils、 libacl、 libattr、libselinux-utils、 selinux-policy、 policycoreutils

注:

バージョン 101.24082.0004以降、Defender for Endpoint on Linux では、 Auditd イベント プロバイダーはサポートされなくなりました。 私たちは、より効率的なeBPF技術に完全に移行しています。 マシンで eBPF がサポートされていない場合、または Auditdに残る特定の要件があり、コンピューターで Linux バージョン 101.24072.0001 以前の Defender for Endpoint を使用している場合、監査パッケージに対するその他の依存関係は、 mdatpに存在します。 101.25032.0000より古いバージョンの場合:

• RPM パッケージのニーズ: mde-netfilter、 pcre
• DEBIAN パッケージのニーズ: mde-netfilter、 libpcre3
• mde-netfilter パッケージには、次のパッケージの依存関係もあります。 - DEBIAN の場合、mde-netfilter パッケージにはlibnetfilter-queue1とlibglib2.0-0が必要です。RPM の場合、mde-netfilter パッケージには、libmnl、libnfnetlink、libnetfilter_queue、glib2バージョン 101.25042.0003以降、uuid-runtime は外部依存関係として必要なくなりました。

インストールに関する問題のトラブルシューティング

インストールの問題が発生した場合は、自己トラブルシューティングのために、次の手順に従います。

1. インストール エラーが発生したときに自動的に生成されるログを検索する方法については、「 ログのインストールの問題」を参照してください。

2. 一般的なインストールの問題については、「 インストールの問題」を参照してください。

3. デバイスの正常性が falseされている場合は、「 Defender for Endpoint エージェントの正常性に関する問題」を参照してください。

4. 製品のパフォーマンスの問題については、「 パフォーマンスの問題のトラブルシューティング」を参照してください。

5. プロキシと接続の問題については、「 クラウド接続の問題のトラブルシューティング」を参照してください。

Microsoft からサポートを受けるために、サポート チケットを開き、 クライアント アナライザーを使用して作成されたログ ファイルを指定します。

チャネルを切り替える方法

たとえば、チャネルを Insiders-Fast から運用に変更するには、次の操作を行います。

1. Insiders-Fast channel バージョンの Defender for Endpoint on Linux をアンインストールします。

   sudo yum remove mdatp
   

2. Linux Insiders-Fast リポジトリで Defender for Endpoint を無効にします。

   sudo yum repolist
   

   注:

   出力には packages-microsoft-com-fast-prodが表示されます。

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. 運用チャネルを使用して Linux でMicrosoft Defender for Endpointを再デプロイします。

Linux 上の Defender for Endpoint は、次のいずれかのチャネル ([channel]) からデプロイできます。

• insiders-fast
• insiders-slow
• prod

これらの各チャネルは、Linux ソフトウェア リポジトリに対応しています。 この記事の手順では、これらのリポジトリのいずれかを使用するようにデバイスを構成する方法について説明します。

チャネルの選択により、デバイスに提供される更新プログラムの種類と頻度が決まります。 insiders-fast のデバイスが最初に更新プログラムと新機能を受け取り、その後に insiders-slow、最後に prod が続きます。

新しい機能をプレビューし、早期フィードバックを提供するには、 insiders-fast または insiders-slowを使用するように社内の一部のデバイスを構成することをお勧めします。

警告

初期インストール後にチャネルを切り替えるには、製品を再インストールする必要があります。 製品チャネルを切り替えるには:既存のパッケージをアンインストールし、新しいチャネルを使用するようにデバイスを再構成し、このドキュメントの手順に従って新しい場所からパッケージをインストールします。

Linux 上のMicrosoft Defenderのポリシーを構成する方法

ウイルス対策と EDR の設定を構成するには、次の記事を参照してください。

• Defender for Endpoint セキュリティ設定管理では、Microsoft Defender ポータルで設定を構成する方法について説明します。 (このメソッドをお勧めします)。
• Linux 上の Defender for Endpoint の設定 設定では、構成できる設定について説明します。

関連コンテンツ

• Linux でのMicrosoft Defender for Endpointの前提条件
• Ansible を使用して Defender for Endpoint on Linux をデプロイする
• Chef を使用して Linux 用 Microsoft Defender for Endpoint を展開する
• Puppet を使用して Defender for Endpoint on Linux をデプロイする
• Saltstack を使用して Linux に Defender for Endpoint をデプロイする
• Defender for Endpoint on Linux を手動でデプロイする
• Defender for Endpoint を使用して、Azure以外のマシンを Microsoft Defender for Cloud に接続する (Defender for Cloud を使用した直接オンボード)
• Linux for SAP 用 Defender for Endpoint のデプロイ ガイダンス
• カスタム パスに Defender for Endpoint on Linux をインストールする

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender for Endpoint Tech Community の Microsoft セキュリティ コミュニティとのEngage