Distribuer Microsoft Defender for endepunkt manuelt på Linux

Gjelder for:

• Microsoft Defender for endepunkt plan 1
• Microsoft Defender for endepunkt plan 2
• Microsoft Defender XDR

Vil du oppleve Defender for endepunkt? Registrer deg for en gratis prøveperiode.

Tips

Leter du etter avansert veiledning om distribusjon av Microsoft Defender for endepunkt på Linux? Se Avansert distribusjonsveiledning på Defender for Endpoint på Linux.

Denne artikkelen beskriver hvordan du distribuerer Microsoft Defender for endepunkt på Linux manuelt. En vellykket distribusjon krever fullføring av alle følgende oppgaver:

• Forutsetninger og systemkrav
• Konfigurer Linux-programvarerepositoriet
  • RHEL og varianter (CentOS, Fedora, Oracle Linux og Amazon Linux 2)
  • SLES og varianter
  • Ubuntu- og Debian-systemer
• Programinstallasjon
  • RHEL og varianter (CentOS, Fedora, Oracle Linux og Amazon Linux 2)
  • SLES og varianter
  • Ubuntu- og Debian-systemer
• Last ned pålastingspakken
• Klientkonfigurasjon

Forutsetninger og systemkrav

Før du begynner, kan du se Microsoft Defender for endepunkt på Linux for en beskrivelse av forutsetninger og systemkrav for den gjeldende programvareversjonen.

Advarsel

Oppgradering av operativsystemet til en ny hovedversjon etter produktinstallasjonen krever at produktet installeres på nytt. Du må avinstallere den eksisterende Defender for Endpoint på Linux, oppgradere operativsystemet og deretter konfigurere Defender for Endpoint på Linux på nytt ved å følge trinnene nedenfor.

Konfigurer Linux-programvarerepositoriet

Defender for Endpoint på Linux kan distribueres fra en av følgende kanaler (merket nedenfor som [kanal]): insiders-fast, insiders-slow eller prod. Hver av disse kanalene tilsvarer et Linux-programvarerepositorium. Instruksjonene i denne artikkelen beskriver hvordan du konfigurerer enheten til å bruke et av disse repositoriene.

Valget av kanalen bestemmer hvilken type og hyppighet oppdateringer som tilbys til enheten. Enheter i insiders-fast er de første til å motta oppdateringer og nye funksjoner, etterfulgt senere av insiders-slow og til slutt av prod.

For å forhåndsvise nye funksjoner og gi tidlig tilbakemelding, anbefales det at du konfigurerer noen enheter i bedriften til å bruke enten insiders-fast eller insiders-slow.

Advarsel

Hvis du bytter kanal etter den første installasjonen, må produktet installeres på nytt. Slik bytter du produktkanal: avinstaller den eksisterende pakken, konfigurer enheten på nytt til å bruke den nye kanalen, og følg fremgangsmåten i dette dokumentet for å installere pakken fra den nye plasseringen.

Installeringsskript

Mens vi diskuterer manuell installasjon, kan du eventuelt bruke et automatisert installer bash-skript som er angitt i vårt offentlige GitHub-repositorium. Skriptet identifiserer distribusjonen og versjonen, forenkler valget av det riktige repositoriet, konfigurerer enheten til å hente den nyeste pakken og kombinerer trinnene for produktinstallasjon og pålasting.

> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel      specify the channel from which you want to install. Default: insiders-fast
-i|--install      install the product
-r|--remove       remove the product
-u|--upgrade      upgrade the existing product
-o|--onboard      onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag          set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req      enforce minimum requirements
-w|--clean        remove repo from package manager for a specific channel
-v|--version      print out script version
-h|--help         display help

Les mer her.

RHEL og varianter (CentOS, Fedora, Oracle Linux og Amazon Linux 2)

• Installer yum-utils hvis den ikke er installert ennå:

  sudo yum install yum-utils
  

  Obs!

  Distribusjonen og versjonen, og identifiser den nærmeste oppføringen (etter hovedinngang, deretter under) for den under https://packages.microsoft.com/config/rhel/.

  Bruk tabellen nedenfor til å hjelpe deg med å finne pakken:

  Distro-versjon &	Pakken
  For RHEL/Centos/Oracle 8.0-8.8	https://packages.microsoft.com/config/rhel/8/prod.repo
  For RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2	https://packages.microsoft.com/config/rhel/7.2/prod.repo
  For Amazon Linux 2023	https://packages.microsoft.com/config/amazonlinux/2023/prod.repo
  For Fedora 33	https://packages.microsoft.com/config/fedora/33/prod.repo
  For Fedora 34	https://packages.microsoft.com/config/fedora/34/prod.repo

  I følgende kommandoer erstatter du [version] og [channel] med informasjonen du har identifisert:

  sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
  

  Tips

  Bruk hostnamectl-kommandoen til å identifisere systemrelatert informasjon, inkludert release [version].

  Hvis du for eksempel kjører CentOS 7 og ønsker å distribuere Defender for Endpoint på Linux fra prod-kanalen :

  sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
  

  Eller hvis du ønsker å utforske nye funksjoner på utvalgte enheter, kan det være lurt å distribuere Microsoft Defender for endepunkt på Linux til insiders-fast-kanal:

  sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
  

• Installer fellesnøkkelen for Microsoft GPG:

  sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
  

SLES og varianter

Obs!

Distribusjonen og versjonen, og identifiser den nærmeste oppføringen (etter hovedinngang, deretter under) for den under https://packages.microsoft.com/config/sles/.

I følgende kommandoer erstatter du [distro] og [version] med informasjonen du har identifisert:

sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo

Tips

Bruk SPident-kommandoen til å identifisere systemrelatert informasjon, inkludert release [version].

Hvis du for eksempel kjører SLES 12 og ønsker å distribuere Microsoft Defender for endepunkt på Linux fra prod-kanalen:

sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo

• Installer fellesnøkkelen for Microsoft GPG:

  sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
  

Ubuntu- og Debian-systemer

• Installer curl hvis den ikke er installert ennå:

  sudo apt-get install curl
  

• Installer libplist-utils hvis den ikke er installert ennå:

  sudo apt-get install libplist-utils
  

  Obs!

  Distribusjonen og versjonen, og identifiser den nærmeste oppføringen (etter hovedinngang, deretter under) for den under https://packages.microsoft.com/config/[distro]/.

  I følgende kommando erstatter du [distro] og [version] med informasjonen du har identifisert:

  curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
  

  Tips

  Bruk hostnamectl-kommandoen til å identifisere systemrelatert informasjon, inkludert release [version].

  Hvis du for eksempel kjører Ubuntu 18.04 og ønsker å distribuere Microsoft Defender for endepunkt på Linux fra prod-kanalen:

  curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
  

• Installer konfigurasjonen av repositoriet:

  sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
  

  Hvis du for eksempel velger prod-kanal :

  sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
  

• Installer pakken hvis den gpg ikke allerede er installert:

  sudo apt-get install gpg
  

  Hvis gpg det ikke er tilgjengelig, installerer gnupgdu .

  sudo apt-get install gnupg
  

• Installer fellesnøkkelen for Microsoft GPG:

  • Kjør følgende kommando for Debian 11 og tidligere.

  curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
  

Kjør følgende kommando for Debian 12 og nyere.

curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null

• Installer HTTPS-driveren hvis den ikke allerede er installert:

  sudo apt-get install apt-transport-https
  

• Oppdater metadataene for repositoriet:

  sudo apt-get update
  

Programinstallasjon

RHEL og varianter (CentOS, Fedora, Oracle Linux og Amazon Linux 2)

sudo yum install mdatp

Obs!

Hvis du har flere Microsoft-repositorier konfigurert på enheten, kan du være spesifikk om hvilket repositorium du vil installere pakken fra. Følgende eksempel viser hvordan du installerer pakken fra production kanalen hvis du også har insiders-fast konfigurert repositoriumkanalen på denne enheten. Denne situasjonen kan skje hvis du bruker flere Microsoft-produkter på enheten. Avhengig av distribusjonen og versjonen av serveren kan repositoriumaliaset være forskjellig fra det i eksemplet nedenfor.

# list all repositories
yum repolist

...
packages-microsoft-com-prod               packages-microsoft-com-prod        316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins      2
...

# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp

SLES og varianter

sudo zypper install mdatp

Obs!

Hvis du har flere Microsoft-repositorier konfigurert på enheten, kan du være spesifikk om hvilket repositorium du vil installere pakken fra. Følgende eksempel viser hvordan du installerer pakken fra production kanalen hvis du også har insiders-fast konfigurert repositoriumkanalen på denne enheten. Denne situasjonen kan skje hvis du bruker flere Microsoft-produkter på enheten.

zypper repos

...
#  | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...

sudo zypper install packages-microsoft-com-prod:mdatp

Ubuntu- og Debian-systemer

sudo apt-get install mdatp

Obs!

Hvis du har flere Microsoft-repositorier konfigurert på enheten, kan du være spesifikk om hvilket repositorium du vil installere pakken fra. Følgende eksempel viser hvordan du installerer pakken fra production kanalen hvis du også har insiders-fast konfigurert repositoriumkanalen på denne enheten. Denne situasjonen kan skje hvis du bruker flere Microsoft-produkter på enheten.

cat /etc/apt/sources.list.d/*

deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main

sudo apt -t bionic install mdatp

Obs!

Omstart er IKKE nødvendig når du har installert eller oppdatert Microsoft Defender for endepunkt på Linux, bortsett fra når du kjører auditD i uforanderlig modus.

Last ned pålastingspakken

Last ned pålastingspakken fra Microsoft Defender portal.

Advarsel

Ompakking av installasjonspakken defender for endepunkt er ikke et støttet scenario. Dette kan påvirke integriteten til produktet negativt og føre til uønskede resultater, inkludert, men ikke begrenset til å utløse manipuleringsvarsler og oppdateringer som ikke gjelder.

Viktig

Hvis du går glipp av dette trinnet, viser alle utførte kommandoer en advarsel som angir at produktet er ulisensiert. mdatp health Kommandoen returnerer også en verdi for false.

1. Gå til Pålasting av enhetsbehandling >> for innstillinger > for endepunkter i Microsoft Defender-portalen.

2. Velg Linux Server som operativsystem i den første rullegardinmenyen. Velg Lokalt skript som distribusjonsmetode i den andre rullegardinmenyen.

3. Velg Last ned pålastingspakke. Lagre filen som WindowsDefenderATPOnboardingPackage.zip.

   

4. Kontroller at du har filen fra en ledetekst, og pakk ut innholdet i arkivet:

   ls -l
   

   total 8
   -rw-r--r-- 1 test  staff  5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
   

   unzip WindowsDefenderATPOnboardingPackage.zip
   

   Archive:  WindowsDefenderATPOnboardingPackage.zip
   inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
   

Klientkonfigurasjon

1. Kopier MicrosoftDefenderATPOnboardingLinuxServer.py til målenheten.

   Obs!

   Klientenheten er i utgangspunktet ikke knyttet til en organisasjon, og orgId-attributtet er tomt.

   mdatp health --field org_id
   

2. Kjør MicrosoftDefenderATPOnboardingLinuxServer.py.

   Obs!

   Hvis du vil kjøre denne kommandoen, må du ha python eller python3 installert på enheten, avhengig av distro og versjon. Hvis det er nødvendig, kan du se trinnvise instruksjoner for hvordan du installerer Python på Linux.

   Obs!

   Du må fjerne mdatp_offboard.json-filen på /etc/opt/microsoft/mdatp for å få en innebygd enhet.

   Hvis du kjører RHEL 8.x eller Ubuntu 20.04 eller nyere, må du bruke python3.

   sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
   

   For resten av distros og versjoner må du bruke python.

   sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
   

3. Kontroller at enheten nå er knyttet til organisasjonen, og rapporter en gyldig organisasjons-ID:

   mdatp health --field org_id
   

4. Kontroller tilstandsstatusen for produktet ved å kjøre følgende kommando. En returverdi 1 angir at produktet fungerer som forventet:

   mdatp health --field healthy
   

   Viktig

   Når produktet starter for første gang, laster det ned de nyeste definisjonene for beskyttelse mot skadelig programvare. Dette kan ta opptil et par minutter, avhengig av nettverkstilkoblingen. I løpet av denne tiden returnerer kommandoen ovenfor en verdi for false. Du kan kontrollere statusen for definisjonsoppdateringen ved hjelp av følgende kommando:

   mdatp health --field definitions_status
   

   Vær oppmerksom på at du kanskje også må konfigurere en proxy når du har fullført den første installasjonen. Se Konfigurere Defender for endepunkt på Linux for statisk proxy-søk: Konfigurasjon etter installasjon.

5. Kjør en AV-gjenkjenningstest for å bekrefte at enheten er riktig pålastet og rapporterer til tjenesten. Utfør følgende trinn på den nylig pålastede enheten:

   • Sørg for at sanntidsbeskyttelse er aktivert (angitt av et resultat av 1 å kjøre følgende kommando):

     mdatp health --field real_time_protection_enabled
     

     Hvis den ikke er aktivert, utfører du følgende kommando:

     mdatp config real-time-protection --value enabled
     

   • Åpne et terminalvindu, og utfør følgende kommando:

     curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
     

   • Filen skal ha blitt satt i karantene av Defender for endepunkt på Linux. Bruk følgende kommando til å liste opp alle oppdagede trusler:

     mdatp threat list
     

6. Kjør en EDR-gjenkjenningstest og simulere en gjenkjenning for å bekrefte at enheten er riktig pålastet og rapporterer til tjenesten. Utfør følgende trinn på den nylig pålastede enheten:

   • Kontroller at den innebygde Linux-serveren vises i Microsoft Defender XDR. Hvis dette er den første pålastingen av maskinen, kan det ta opptil 20 minutter før den vises.

   • Last ned og pakk ut skriptfilen til en innebygd Linux-server, og kjør følgende kommando: ./mde_linux_edr_diy.sh

   • Etter noen minutter skal en gjenkjenning heves i Microsoft Defender XDR.

   • Se på varseldetaljene, tidslinjen for maskinen, og utfør de vanlige undersøkelsestrinnene.

Microsoft Defender for endepunkt pakkeavhengigheter for eksterne pakker

Følgende avhengigheter for eksterne pakker finnes for mdatp-pakken:

• Mdatp RPM-pakken krever «glibc >= 2.17», «audit», «policycoreutils», «semanage» «selinux-policy-targeted», «mde-netfilter»
• For RHEL6 krever mdatp RPM-pakken «audit», «policycoreutils», «libselinux», «mde-netfilter»
• For DEBIAN krever mdatp-pakken «libc6 >= 2.23», «uuid-runtime», «auditd», «mde-netfilter»

MDE-netfilter-pakken har også følgende pakkeavhengigheter:

• For DEBIAN krever mde-netfilter-pakken "libnetfilter-queue1", "libglib2.0-0"
• for RPM krever mde-netfilter-pakken "libmnl", "libnfnetlink", "libnetfilter_queue", "glib2"

Hvis Microsoft Defender for endepunkt installasjonen mislykkes på grunn av manglende avhengighetsfeil, kan du laste ned de nødvendige avhengighetene manuelt.

Logginstallasjonsproblemer

Se logginstallasjonsproblemer hvis du vil ha mer informasjon om hvordan du finner den automatisk genererte loggen som opprettes av installasjonsprogrammet når det oppstår en feil.

Slik overfører du fra Insiders-Fast til Produksjonskanal

1. Avinstaller «Insiders-Fast-kanalen»-versjonen av Defender for Endpoint på Linux.

   sudo yum remove mdatp
   

2. Deaktivere Defender for Endpoint på Linux Insiders-Fast repo

   sudo yum repolist
   

   Obs!

   Utdataene skal vise «packages-microsoft-com-fast-prod».

   sudo yum-config-manager --disable packages-microsoft-com-fast-prod
   

3. Redistribuer Microsoft Defender for endepunkt på Linux ved hjelp av Produksjonskanal.

Avinstallasjon

Se Avinstallere for mer informasjon om hvordan du fjerner Defender for endepunkt på Linux fra klientenheter.

Se også

• Undersøk problemer med agenttilstand

Tips

Vil du lære mer? Kommunmuner deg med Microsoft Security-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender for endepunkt teknisk fellesskap.