Del via

Distribuer Microsoft Defender for endepunkt manuelt på Linux

  • Artikkel

Gjelder for:

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Tips

Leter du etter avansert veiledning om distribusjon av Microsoft Defender for endepunkt på Linux? Se Avansert distribusjonsveiledning på Defender for Endpoint på Linux.

Denne artikkelen beskriver hvordan du distribuerer Microsoft Defender for endepunkt på Linux manuelt. En vellykket distribusjon krever fullføring av alle følgende oppgaver:

Forutsetninger og systemkrav

Før du begynner, kan du se Microsoft Defender for endepunkt på Linux for en beskrivelse av forutsetninger og systemkrav for den gjeldende programvareversjonen.

Advarsel

Oppgradering av operativsystemet til en ny hovedversjon etter produktinstallasjonen krever at produktet installeres på nytt. Du må avinstallere den eksisterende Defender for Endpoint på Linux, oppgradere operativsystemet og deretter konfigurere Defender for Endpoint på Linux på nytt ved å følge trinnene nedenfor.

Konfigurer Linux-programvarerepositoriet

Defender for Endpoint på Linux kan distribueres fra en av følgende kanaler (merket nedenfor som [kanal]): insiders-fast, insiders-slow eller prod. Hver av disse kanalene tilsvarer et Linux-programvarerepositorium. Instruksjonene i denne artikkelen beskriver hvordan du konfigurerer enheten til å bruke et av disse repositoriene.

Valget av kanalen bestemmer hvilken type og hyppighet oppdateringer som tilbys til enheten. Enheter i insiders-fast er de første til å motta oppdateringer og nye funksjoner, etterfulgt senere av insiders-slow og til slutt av prod.

For å forhåndsvise nye funksjoner og gi tidlig tilbakemelding, anbefales det at du konfigurerer enkelte enheter i bedriften til å bruke enten insiders-fast eller insiders-slow.

Advarsel

Hvis du bytter kanal etter den første installasjonen, må produktet installeres på nytt. Slik bytter du produktkanal: avinstaller den eksisterende pakken, konfigurer enheten på nytt til å bruke den nye kanalen, og følg fremgangsmåten i dette dokumentet for å installere pakken fra den nye plasseringen.

Installeringsskript

Mens vi diskuterer manuell installasjon, kan du eventuelt bruke et automatisert installer bash-skript som er angitt i vårt offentlige GitHub-repositorium. Skriptet identifiserer distribusjonen og versjonen, forenkler valget av det riktige repositoriet, konfigurerer enheten til å hente den nyeste pakken og kombinerer trinnene for produktinstallasjon og pålasting.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Les mer her.

RHEL og varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky og Alma)

SLES og varianter

Obs!

Distribusjonen og versjonen, og identifiser den nærmeste oppføringen (etter hovedinngang, deretter under) for den under https://packages.microsoft.com/config/sles/.

I følgende kommandoer erstatter du [distro] og [version] med informasjonen du har identifisert:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Tips

Bruk SPident-kommandoen til å identifisere systemrelatert informasjon, inkludert release [version].

Hvis du for eksempel kjører SLES 12 og ønsker å distribuere Microsoft Defender for endepunkt på Linux fra prod-kanalen:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

  • Installer fellesnøkkelen for Microsoft GPG:

    sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc

Ubuntu- og Debian-systemer

  • Installer curl hvis den ikke er installert ennå:

    sudo apt-get install curl

  • Installer libplist-utils hvis den ikke er installert ennå:

    sudo apt-get install libplist-utils

    Obs!

    Distribusjonen og versjonen, og identifiser den nærmeste oppføringen (etter hovedinngang, deretter under) for den under https://packages.microsoft.com/config/[distro]/.

    I følgende kommando erstatter du [distro] og [version] med informasjonen du har identifisert:

    curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list

    Tips

    Bruk hostnamectl-kommandoen til å identifisere systemrelatert informasjon, inkludert release [version].

    Hvis du for eksempel kjører Ubuntu 18.04 og ønsker å distribuere Microsoft Defender for endepunkt på Linux fra prod-kanalen:

    curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list

  • Installer konfigurasjonen av repositoriet:

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list

    Hvis du for eksempel velger prod-kanal :

    sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list

  • Installer pakken hvis den gpg ikke allerede er installert:

    sudo apt-get install gpg

    Hvis gpg det ikke er tilgjengelig, installerer gnupgdu .

    sudo apt-get install gnupg

  • Installer fellesnøkkelen for Microsoft GPG:

    • Kjør følgende kommando for Debian 11 og tidligere.
    curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null

Kjør følgende kommando for Debian 12 og nyere.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

  • Installer HTTPS-driveren hvis den ikke allerede er installert:

    sudo apt-get install apt-transport-https

  • Oppdater metadataene for repositoriet:

    sudo apt-get update

Mariner

  • Installer dnf-plugins-core hvis den ikke er installert ennå:

    sudo dnf install dnf-plugins-core

  • Konfigurer og aktiver de nødvendige repositoriene

    Obs!

    Insider Fast Channel er ikke tilgjengelig på Mariner.

    Hvis du vil distribuere Defender for Endpoint på Linux fra prod-kanalen . Bruk følgende kommandoer

    sudo dnf install mariner-repos-extras
sudo dnf config-manager --enable mariner-official-extras

    Eller hvis du ønsker å utforske nye funksjoner på utvalgte enheter, vil du kanskje distribuere Microsoft Defender for endepunkt på Linux til insiders-slow-kanalen. Bruk følgende kommandoer:

    sudo dnf install mariner-repos-extras-preview
sudo dnf config-manager --enable mariner-official-extras-preview

Programinstallasjon

RHEL og varianter (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky og Alma)

sudo yum install mdatp

Obs!

Hvis du har flere Microsoft-repositorier konfigurert på enheten, kan du være spesifikk om hvilket repositorium du vil installere pakken fra. Følgende eksempel viser hvordan du installerer pakken fra production kanalen hvis du også har insiders-fast konfigurert repositoriumkanalen på denne enheten. Denne situasjonen kan skje hvis du bruker flere Microsoft-produkter på enheten. Avhengig av distribusjonen og versjonen av serveren kan repositoriumaliaset være forskjellig fra det i eksemplet nedenfor.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES og varianter

sudo zypper install mdatp

Obs!

Hvis du har flere Microsoft-repositorier konfigurert på enheten, kan du være spesifikk om hvilket repositorium du vil installere pakken fra. Følgende eksempel viser hvordan du installerer pakken fra production kanalen hvis du også har insiders-fast konfigurert repositoriumkanalen på denne enheten. Denne situasjonen kan skje hvis du bruker flere Microsoft-produkter på enheten.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- og Debian-systemer

sudo apt-get install mdatp

Obs!

Hvis du har flere Microsoft-repositorier konfigurert på enheten, kan du være spesifikk om hvilket repositorium du vil installere pakken fra. Følgende eksempel viser hvordan du installerer pakken fra production kanalen hvis du også har insiders-fast konfigurert repositoriumkanalen på denne enheten. Denne situasjonen kan skje hvis du bruker flere Microsoft-produkter på enheten.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Obs!

Omstart er IKKE nødvendig når du har installert eller oppdatert Microsoft Defender for endepunkt på Linux, bortsett fra når du kjører auditD i uforanderlig modus.

Mariner

sudo dnf install mdatp

Obs!

Hvis du har flere Microsoft-repositorier konfigurert på enheten, kan du være spesifikk om hvilket repositorium du vil installere pakken fra. Følgende eksempel viser hvordan du installerer pakken fra production kanalen hvis du også har insiders-slow konfigurert repositoriumkanalen på denne enheten. Denne situasjonen kan skje hvis du bruker flere Microsoft-produkter på enheten.

sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras

Last ned pålastingspakken

Last ned pålastingspakken fra Microsoft Defender portal.

Advarsel

Ompakking av installasjonspakken defender for endepunkt er ikke et støttet scenario. Dette kan påvirke integriteten til produktet negativt og føre til uønskede resultater, inkludert, men ikke begrenset til å utløse manipuleringsvarsler og oppdateringer som ikke gjelder.

Viktig

Hvis du går glipp av dette trinnet, viser alle utførte kommandoer en advarsel som angir at produktet er ulisensiert. mdatp health Kommandoen returnerer også en verdi for false.

  1. Gå til Pålasting av enhetsbehandling >> for innstillinger > for endepunkter i Microsoft Defender-portalen.

  2. Velg Linux Server som operativsystem i den første rullegardinmenyen. Velg Lokalt skript som distribusjonsmetode i den andre rullegardinmenyen.

  3. Velg Last ned pålastingspakke. Lagre filen som WindowsDefenderATPOnboardingPackage.zip.

    Laste ned en pålastingspakke i Microsoft Defender-portalen

  4. Kontroller at du har filen fra en ledetekst, og pakk ut innholdet i arkivet:

    ls -l

    total 8
-rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip

    unzip WindowsDefenderATPOnboardingPackage.zip

    Archive:  WindowsDefenderATPOnboardingPackage.zip
inflating: MicrosoftDefenderATPOnboardingLinuxServer.py

Klientkonfigurasjon

  1. Kopier MicrosoftDefenderATPOnboardingLinuxServer.py til målenheten.

    Obs!

    Klientenheten er i utgangspunktet ikke knyttet til en organisasjon, og orgId-attributtet er tomt.

    mdatp health --field org_id

  2. Kjør MicrosoftDefenderATPOnboardingLinuxServer.py.

    Obs!

    Hvis du vil kjøre denne kommandoen, må du ha python eller python3 installert på enheten, avhengig av distro og versjon. Hvis det er nødvendig, kan du se trinnvise instruksjoner for hvordan du installerer Python på Linux.

    Obs!

    Hvis du vil gå om bord på en enhet som tidligere var avlastet, må du fjerne mdatp_offboard.json-filen som er plassert på /etc/opt/microsoft/mdatp.

    Hvis du kjører RHEL 8.x eller Ubuntu 20.04 eller nyere, må du bruke python3.

    sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py

    For resten av distros og versjoner må du bruke python.

    sudo python MicrosoftDefenderATPOnboardingLinuxServer.py

  3. Kontroller at enheten nå er knyttet til organisasjonen, og rapporter en gyldig organisasjons-ID:

    mdatp health --field org_id

  4. Kontroller tilstandsstatusen for produktet ved å kjøre følgende kommando. En returverdi true angir at produktet fungerer som forventet:

    mdatp health --field healthy

    Viktig

    Når produktet starter for første gang, laster det ned de nyeste definisjonene for beskyttelse mot skadelig programvare. Dette kan ta opptil et par minutter, avhengig av nettverkstilkoblingen. I løpet av denne tiden returnerer kommandoen ovenfor en verdi for false. Du kan kontrollere statusen for definisjonsoppdateringen ved hjelp av følgende kommando:

    mdatp health --field definitions_status

    Vær oppmerksom på at du kanskje også må konfigurere en proxy når du har fullført den første installasjonen. Se Konfigurere Defender for endepunkt på Linux for statisk proxy-søk: Konfigurasjon etter installasjon.

  5. Kjør en AV-gjenkjenningstest for å bekrefte at enheten er riktig pålastet og rapporterer til tjenesten. Utfør følgende trinn på den nylig pålastede enheten:

    • Sørg for at sanntidsbeskyttelse er aktivert (angitt av et resultat av true å kjøre følgende kommando):

      mdatp health --field real_time_protection_enabled

      Hvis den ikke er aktivert, utfører du følgende kommando:

      mdatp config real-time-protection --value enabled

    • Åpne et terminalvindu, og utfør følgende kommando for å kjøre en gjenkjenningstest:

      curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt

    • Du kan kjøre flere gjenkjenningstester på ZIP-filer ved hjelp av én av følgende kommandoer:

      curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip
curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip

    • Filene må settes i karantene av Defender for Endpoint på Linux. Bruk følgende kommando til å liste opp alle oppdagede trusler:

      mdatp threat list

  6. Kjør en EDR-gjenkjenningstest og simulere en gjenkjenning for å bekrefte at enheten er riktig pålastet og rapporterer til tjenesten. Utfør følgende trinn på den nylig pålastede enheten:

  • Kontroller at den innebygde Linux-serveren vises i Microsoft Defender XDR. Hvis dette er den første pålastingen av maskinen, kan det ta opptil 20 minutter før den vises.

    • Last ned og pakk ut skriptfilen til en innebygd Linux-server, og kjør følgende kommando: ./mde_linux_edr_diy.sh

    • Etter noen minutter skal en gjenkjenning heves i Microsoft Defender XDR.

    • Se på varseldetaljene, tidslinjen for maskinen, og utfør de vanlige undersøkelsestrinnene.

Microsoft Defender for endepunkt pakkeavhengigheter for eksterne pakker

Følgende avhengigheter for eksterne pakker finnes for mdatp-pakken:

  • Mdatp RPM-pakken krever «glibc >= 2.17», «audit», «policycoreutils», «semanage» «selinux-policy-targeted», «mde-netfilter»
  • For RHEL6 krever mdatp RPM-pakken «audit», «policycoreutils», «libselinux», «mde-netfilter»
  • For DEBIAN krever mdatp-pakken «libc6 >= 2.23», «uuid-runtime», «auditd», «mde-netfilter»
  • For Mariner krever mdatp-pakken «attr», «audit», «diffutils», «libacl», «libattr», «libselinux-utils», «selinux-policy», «policycoreutils», «mde-netfilter»

MDE-netfilter-pakken har også følgende pakkeavhengigheter:

  • For DEBIAN krever mde-netfilter-pakken «libnetfilter-queue1», «libglib2.0-0»
  • For RPM krever mde-netfilter-pakken "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"
  • For Mariner krever mde-netfilter-pakken "libnfnetlink", "libnetfilter_queue"

Hvis Microsoft Defender for endepunkt installasjonen mislykkes på grunn av manglende avhengighetsfeil, kan du laste ned forutsetningsavhengighetene manuelt.

Logginstallasjonsproblemer

Se logginstallasjonsproblemer hvis du vil ha mer informasjon om hvordan du finner den automatisk genererte loggen som opprettes av installasjonsprogrammet når det oppstår en feil.

Slik overfører du fra Insiders-Fast til Produksjonskanal

  1. Avinstaller «Insiders-Fast-kanalen»-versjonen av Defender for Endpoint på Linux.

    sudo yum remove mdatp

  2. Deaktivere Defender for Endpoint på Linux Insiders-Fast repo

    sudo yum repolist

    Obs!

    Utdataene skal vise «packages-microsoft-com-fast-prod».

    sudo yum-config-manager --disable packages-microsoft-com-fast-prod

  3. Redistribuer Microsoft Defender for endepunkt på Linux ved hjelp av Produksjonskanal.

Avinstallasjon

Se Avinstallere for mer informasjon om hvordan du fjerner Defender for endepunkt på Linux fra klientenheter.

Se også

Tips

Vil du lære mer? Engage med Microsoft Security-fellesskapet i teknisk fellesskap: Microsoft Defender for endepunkt teknisk fellesskap.