Microsoft Defender voor Eindpunt handmatig implementeren in Linux
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Tip
Op zoek naar geavanceerde richtlijnen voor het implementeren van Microsoft Defender voor Eindpunt in Linux? Zie Geavanceerde implementatiehandleiding voor Defender voor Eindpunt in Linux.
In dit artikel wordt beschreven hoe u Microsoft Defender voor Eindpunt handmatig in Linux implementeert. Voor een geslaagde implementatie moeten alle volgende taken worden voltooid:
- Vereisten en systeemvereisten
- De Linux-softwareopslagplaats configureren
- Toepassingsinstallatie
- Het onboarding-pakket downloaden
- Clientconfiguratie
Vereisten en systeemvereisten
Voordat u aan de slag gaat, raadpleegt u Microsoft Defender voor Eindpunt op Linux voor een beschrijving van de vereisten en systeemvereisten voor de huidige softwareversie.
Waarschuwing
Voor het upgraden van uw besturingssysteem naar een nieuwe primaire versie na de productinstallatie moet het product opnieuw worden geïnstalleerd. U moet de bestaande Defender voor Eindpunt in Linux verwijderen , het besturingssysteem upgraden en Defender voor Eindpunt in Linux opnieuw configureren aan de hand van de onderstaande stappen.
De Linux-softwareopslagplaats configureren
Defender voor Eindpunt op Linux kan worden geïmplementeerd via een van de volgende kanalen (aangeduid als [kanaal]): insiders-fast, insiders-slow of prod
. Elk van deze kanalen komt overeen met een Linux-softwareopslagplaats. In de instructies in dit artikel wordt beschreven hoe u uw apparaat configureert voor het gebruik van een van deze opslagplaatsen.
De keuze van het kanaal bepaalt het type en de frequentie van updates die aan uw apparaat worden aangeboden. Apparaten in insiders-fast zijn de eerste apparaten die updates en nieuwe functies ontvangen, gevolgd door insiders-slow en ten slotte door prod
.
Als u een voorbeeld van nieuwe functies wilt bekijken en in een vroeg stadium feedback wilt geven, is het raadzaam dat u sommige apparaten in uw onderneming configureert voor het gebruik van insiders-fast of insiders-slow.
Waarschuwing
Als u het kanaal na de eerste installatie overschakelt, moet het product opnieuw worden geïnstalleerd. Als u wilt schakelen tussen het productkanaal, verwijdert u het bestaande pakket, configureert u het apparaat opnieuw om het nieuwe kanaal te gebruiken en volgt u de stappen in dit document om het pakket vanaf de nieuwe locatie te installeren.
Installatiescript
Terwijl we handmatige installatie bespreken, kunt u ook een geautomatiseerd bash-script voor installatieprogramma's gebruiken dat wordt geleverd in onze openbare GitHub-opslagplaats. Het script identificeert de distributie en versie, vereenvoudigt de selectie van de juiste opslagplaats, stelt het apparaat in om het nieuwste pakket op te halen en combineert de stappen voor productinstallatie en onboarding.
> ./mde_installer.sh --help
usage: basename ./mde_installer.sh [OPTIONS]
Options:
-c|--channel specify the channel from which you want to install. Default: insiders-fast
-i|--install install the product
-r|--remove remove the product
-u|--upgrade upgrade the existing product
-o|--onboard onboard/offboard the product with <onboarding_script>
-p|--passive-mode set EPP to passive mode
-t|--tag set a tag by declaring <name> and <value>. ex: -t GROUP Coders
-m|--min_req enforce minimum requirements
-w|--clean remove repo from package manager for a specific channel
-v|--version print out script version
-h|--help display help
Lees hier meer.
RHEL en varianten (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky en Alma)
Installeren
yum-utils
als deze nog niet is geïnstalleerd:sudo yum install yum-utils
Opmerking
Uw distributie en versie, en identificeer de dichtstbijzijnde vermelding (op primaire en vervolgens secundaire) voor de vermelding onder
https://packages.microsoft.com/config/rhel/
.Gebruik de volgende tabel om u te helpen bij het zoeken naar het pakket:
Distributieversie & Pak Voor Alma 8.4 en hoger https://packages.microsoft.com/config/alma/8/prod.repo Voor Alma 9.2 en hoger https://packages.microsoft.com/config/alma/9/prod.repo Voor RHEL/Centos/Oracle 9.0-9.8 https://packages.microsoft.com/config/rhel/9/prod.repo Voor RHEL/Centos/Oracle 8.0-8.10 https://packages.microsoft.com/config/rhel/8/prod.repo Voor RHEL/Centos/Oracle 7.2-7.9 & Amazon Linux 2 https://packages.microsoft.com/config/rhel/7.2/prod.repo Voor Amazon Linux 2023 https://packages.microsoft.com/config/amazonlinux/2023/prod.repo Voor Fedora 33 https://packages.microsoft.com/config/fedora/33/prod.repo Voor Fedora 34 https://packages.microsoft.com/config/fedora/34/prod.repo Voor Rocky 8.7 en hoger https://packages.microsoft.com/config/rocky/8/prod.repo Voor Rocky 9.2 en hoger https://packages.microsoft.com/config/rocky/9/prod.repo Vervang [versie] en [kanaal] in de volgende opdrachten door de informatie die u hebt geïdentificeerd:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/[version]/[channel].repo
Tip
Gebruik de opdracht hostnamectl om systeemgerelateerde informatie te identificeren, waaronder release [versie].
Als u bijvoorbeeld CentOS 7 uitvoert en Defender voor Eindpunt op Linux wilt implementeren vanuit het
prod
kanaal:sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/prod.repo
Of als u nieuwe functies op geselecteerde apparaten wilt verkennen, kunt u Microsoft Defender voor Eindpunt op Linux implementeren in insiders-fast-kanaal:
sudo yum-config-manager --add-repo=https://packages.microsoft.com/config/rhel/7/insiders-fast.repo
Installeer de openbare sleutel van Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
SLES en varianten
Opmerking
Uw distributie en versie, en identificeer de dichtstbijzijnde vermelding (op primaire en vervolgens secundaire) voor de vermelding onder https://packages.microsoft.com/config/sles/
.
Vervang [distributie] en [versie] in de volgende opdrachten door de informatie die u hebt geïdentificeerd:
sudo zypper addrepo -c -f -n microsoft-[channel] https://packages.microsoft.com/config/[distro]/[version]/[channel].repo
Tip
Gebruik de SPident-opdracht om systeemgerelateerde informatie te identificeren, waaronder release [versie].
Als u bijvoorbeeld SLES 12 uitvoert en Microsoft Defender voor Eindpunt op Linux wilt implementeren vanuit het prod
kanaal:
sudo zypper addrepo -c -f -n microsoft-prod https://packages.microsoft.com/config/sles/12/prod.repo
Installeer de openbare sleutel van Microsoft GPG:
sudo rpm --import https://packages.microsoft.com/keys/microsoft.asc
Ubuntu- en Debian-systemen
Installeren
curl
als deze nog niet is geïnstalleerd:sudo apt-get install curl
Installeren
libplist-utils
als deze nog niet is geïnstalleerd:sudo apt-get install libplist-utils
Opmerking
Uw distributie en versie, en identificeer de dichtstbijzijnde vermelding (op primaire en vervolgens secundaire) voor de vermelding onder
https://packages.microsoft.com/config/[distro]/
.Vervang in de volgende opdracht [distributie] en [versie] door de informatie die u hebt geïdentificeerd:
curl -o microsoft.list https://packages.microsoft.com/config/[distro]/[version]/[channel].list
Tip
Gebruik de opdracht hostnamectl om systeemgerelateerde informatie te identificeren, waaronder release [versie].
Als u bijvoorbeeld Ubuntu 18.04 gebruikt en Microsoft Defender voor Eindpunt op Linux wilt implementeren vanuit het
prod
kanaal:curl -o microsoft.list https://packages.microsoft.com/config/ubuntu/18.04/prod.list
Installeer de configuratie van de opslagplaats:
sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-[channel].list
Als u bijvoorbeeld een kanaal hebt gekozen
prod
:sudo mv ./microsoft.list /etc/apt/sources.list.d/microsoft-prod.list
Installeer het
gpg
pakket als dit nog niet is geïnstalleerd:sudo apt-get install gpg
Als
gpg
dit niet beschikbaar is, installeert ugnupg
.sudo apt-get install gnupg
Installeer de openbare sleutel van Microsoft GPG:
- Voer voor Debian 11 en eerder de volgende opdracht uit.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/microsoft.gpg > /dev/null
Voer voor Debian 12 en hoger de volgende opdracht uit.
curl -sSL https://packages.microsoft.com/keys/microsoft.asc | gpg --dearmor | sudo tee /usr/share/keyrings/microsoft-prod.gpg > /dev/null
Installeer het HTTPS-stuurprogramma als dit nog niet is geïnstalleerd:
sudo apt-get install apt-transport-https
Werk de metagegevens van de opslagplaats bij:
sudo apt-get update
Zeeman
Installeren
dnf-plugins-core
als deze nog niet is geïnstalleerd:sudo dnf install dnf-plugins-core
De vereiste opslagplaatsen configureren en inschakelen
Opmerking
Op Mariner is het Insider Fast-kanaal niet beschikbaar.
Als u Defender voor Eindpunt op Linux wilt implementeren vanuit het
prod
kanaal. Gebruik de volgende opdrachtensudo dnf install mariner-repos-extras sudo dnf config-manager --enable mariner-official-extras
Of als u nieuwe functies op geselecteerde apparaten wilt verkennen, kunt u Microsoft Defender voor Eindpunt op Linux implementeren in insiders-slow-kanaal. Gebruik de volgende opdrachten:
sudo dnf install mariner-repos-extras-preview sudo dnf config-manager --enable mariner-official-extras-preview
Toepassingsinstallatie
RHEL en varianten (CentOS, Fedora, Oracle Linux, Amazon Linux 2, Rocky en Alma)
sudo yum install mdatp
Opmerking
Als u meerdere Microsoft-opslagplaatsen hebt geconfigureerd op uw apparaat, kunt u specifiek zijn over de opslagplaats van waaruit u het pakket wilt installeren. In het volgende voorbeeld ziet u hoe u het pakket installeert vanuit het production
kanaal als u ook het insiders-fast
opslagplaatskanaal op dit apparaat hebt geconfigureerd. Deze situatie kan zich voordoen als u meerdere Microsoft-producten op uw apparaat gebruikt. Afhankelijk van de distributie en de versie van uw server, kan de opslagplaatsalias afwijken van de alias in het volgende voorbeeld.
# list all repositories
yum repolist
...
packages-microsoft-com-prod packages-microsoft-com-prod 316
packages-microsoft-com-prod-insiders-fast packages-microsoft-com-prod-ins 2
...
# install the package from the production repository
sudo yum --enablerepo=packages-microsoft-com-prod install mdatp
SLES en varianten
sudo zypper install mdatp
Opmerking
Als u meerdere Microsoft-opslagplaatsen hebt geconfigureerd op uw apparaat, kunt u specifiek zijn over de opslagplaats van waaruit u het pakket wilt installeren. In het volgende voorbeeld ziet u hoe u het pakket installeert vanuit het production
kanaal als u ook het insiders-fast
opslagplaatskanaal op dit apparaat hebt geconfigureerd. Deze situatie kan zich voordoen als u meerdere Microsoft-producten op uw apparaat gebruikt.
zypper repos
...
# | Alias | Name | ...
XX | packages-microsoft-com-insiders-fast | microsoft-insiders-fast | ...
XX | packages-microsoft-com-prod | microsoft-prod | ...
...
sudo zypper install packages-microsoft-com-prod:mdatp
Ubuntu- en Debian-systemen
sudo apt-get install mdatp
Opmerking
Als u meerdere Microsoft-opslagplaatsen hebt geconfigureerd op uw apparaat, kunt u specifiek zijn over de opslagplaats van waaruit u het pakket wilt installeren. In het volgende voorbeeld ziet u hoe u het pakket installeert vanuit het production
kanaal als u ook het insiders-fast
opslagplaatskanaal op dit apparaat hebt geconfigureerd. Deze situatie kan zich voordoen als u meerdere Microsoft-producten op uw apparaat gebruikt.
cat /etc/apt/sources.list.d/*
deb [arch=arm64,armhf,amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod insiders-fast main
deb [arch=amd64] https://packages.microsoft.com/config/ubuntu/18.04/prod bionic main
sudo apt -t bionic install mdatp
Opmerking
Opnieuw opstarten is NIET vereist na het installeren of bijwerken van Microsoft Defender voor Eindpunt in Linux, behalve wanneer u auditD uitvoert in onveranderbare modus.
Zeeman
sudo dnf install mdatp
Opmerking
Als u meerdere Microsoft-opslagplaatsen hebt geconfigureerd op uw apparaat, kunt u specifiek zijn over de opslagplaats van waaruit u het pakket wilt installeren. In het volgende voorbeeld ziet u hoe u het pakket installeert vanuit het production
kanaal als u ook het insiders-slow
opslagplaatskanaal op dit apparaat hebt geconfigureerd. Deze situatie kan zich voordoen als u meerdere Microsoft-producten op uw apparaat gebruikt.
sudo dnf config-manager --disable mariner-official-extras-preview
sudo dnf config-manager --enable mariner-official-extras
Het onboarding-pakket downloaden
Download het onboardingpakket vanuit Microsoft Defender portal.
Waarschuwing
Het opnieuw verpakken van het Defender voor Eindpunt-installatiepakket is geen ondersteund scenario. Dit kan een negatieve invloed hebben op de integriteit van het product en leiden tot negatieve resultaten, met inbegrip van maar niet beperkt tot het activeren van manipulatiewaarschuwingen en updates die niet van toepassing zijn.
Belangrijk
Als u deze stap mist, wordt bij elke uitgevoerde opdracht een waarschuwingsbericht weergegeven dat aangeeft dat het product geen licentie heeft.
mdatp health
De opdracht retourneert ook de waarde van false
.
Ga in de Microsoft Defender-portal naar Instellingen > Eindpunten > Apparaatbeheer > Onboarding.
Selecteer in de eerste vervolgkeuzelijst Linux-server als besturingssysteem. Selecteer in de tweede vervolgkeuzelijst Lokaal script als implementatiemethode.
Selecteer Onboardingpakket downloaden. Sla het bestand op als WindowsDefenderATPOnboardingPackage.zip.
Controleer vanaf een opdrachtprompt of u het bestand hebt en pak de inhoud van het archief uit:
ls -l
total 8 -rw-r--r-- 1 test staff 5752 Feb 18 11:22 WindowsDefenderATPOnboardingPackage.zip
unzip WindowsDefenderATPOnboardingPackage.zip
Archive: WindowsDefenderATPOnboardingPackage.zip inflating: MicrosoftDefenderATPOnboardingLinuxServer.py
Clientconfiguratie
Kopieer MicrosoftDefenderATPOnboardingLinuxServer.py naar het doelapparaat.
Opmerking
In eerste instantie is het clientapparaat niet gekoppeld aan een organisatie en is het kenmerk orgId leeg.
mdatp health --field org_id
Voer MicrosoftDefenderATPOnboardingLinuxServer.py uit.
Opmerking
Als u deze opdracht wilt uitvoeren, moet u op het apparaat zijn
python
geïnstalleerd,python3
afhankelijk van de distributie en versie. Zie indien nodig Stapsgewijze instructies voor het installeren van Python in Linux.Opmerking
Als u een apparaat wilt onboarden dat eerder was offboarded, moet u het mdatp_offboard.json-bestand op /etc/opt/microsoft/mdatp verwijderen.
Als u RHEL 8.x of Ubuntu 20.04 of hoger uitvoert, moet u gebruiken
python3
.sudo python3 MicrosoftDefenderATPOnboardingLinuxServer.py
Voor de rest van distributies en versies moet u gebruiken
python
.sudo python MicrosoftDefenderATPOnboardingLinuxServer.py
Controleer of het apparaat nu is gekoppeld aan uw organisatie en rapporteert een geldige organisatie-id:
mdatp health --field org_id
Controleer de status van het product door de volgende opdracht uit te voeren. Een retourwaarde van
true
geeft aan dat het product werkt zoals verwacht:mdatp health --field healthy
Belangrijk
Wanneer het product voor de eerste keer wordt gestart, worden de nieuwste antimalwaredefinities gedownload. Dit kan enkele minuten duren, afhankelijk van de netwerkverbinding. Gedurende deze tijd retourneert de bovenstaande opdracht een waarde van
false
. U kunt de status van de definitie-update controleren met behulp van de volgende opdracht:mdatp health --field definitions_status
Houd er rekening mee dat u mogelijk ook een proxy moet configureren na het voltooien van de eerste installatie. Zie Defender voor eindpunt in Linux configureren voor detectie van statische proxy: configuratie na installatie.
Voer een AV-detectietest uit om te controleren of het apparaat correct is onboarded en rapporteert aan de service. Voer de volgende stappen uit op het zojuist onboardingsapparaat:
Zorg ervoor dat realtime-beveiliging is ingeschakeld (aangegeven door een resultaat van het uitvoeren van
true
de volgende opdracht):mdatp health --field real_time_protection_enabled
Als deze niet is ingeschakeld, voert u de volgende opdracht uit:
mdatp config real-time-protection --value enabled
Open een Terminal-venster en voer de volgende opdracht uit om een detectietest uit te voeren:
curl -o /tmp/eicar.com.txt https://secure.eicar.org/eicar.com.txt
U kunt meer detectietests uitvoeren op zip-bestanden met behulp van een van de volgende opdrachten:
curl -o /tmp/eicar_com.zip https://secure.eicar.org/eicar_com.zip curl -o /tmp/eicarcom2.zip https://secure.eicar.org/eicarcom2.zip
De bestanden moeten in quarantaine worden geplaatst door Defender voor Eindpunt in Linux. Gebruik de volgende opdracht om alle gedetecteerde bedreigingen weer te geven:
mdatp threat list
Voer een EDR-detectietest uit en simuleer een detectie om te controleren of het apparaat correct is onboarded en rapporteert aan de service. Voer de volgende stappen uit op het zojuist onboardingsapparaat:
Controleer of de onboarded Linux-server wordt weergegeven in Microsoft Defender XDR. Als dit de eerste onboarding van de machine is, kan het tot 20 minuten duren voordat deze wordt weergegeven.
Download en pak het scriptbestand uit naar een onboarded Linux-server en voer de volgende opdracht uit:
./mde_linux_edr_diy.sh
Na een paar minuten moet er een detectie worden gegenereerd in Microsoft Defender XDR.
Bekijk de waarschuwingsdetails en de tijdlijn van de machine en voer de gebruikelijke onderzoeksstappen uit.
afhankelijkheden van externe pakketten Microsoft Defender voor Eindpunt pakket
De volgende externe pakketafhankelijkheden bestaan voor het mdatp-pakket:
- Het rpm-pakket mdatp vereist
glibc >= 2.17
,audit
,policycoreutils
,semanage
selinux-policy-targeted
, ,mde-netfilter
- Voor DEBIAN vereist
libc6 >= 2.23
het mdatp-pakket ,uuid-runtime
,auditd
,mde-netfilter
- Voor Mariner vereist
attr
het mdatp-pakket ,diffutils
audit
,libacl
,libattr
,libselinux-utils
, ,selinux-policy
, ,policycoreutils
mde-netfilter
Het pakket mde-netfilter heeft ook de volgende pakketafhankelijkheden:
- Voor DEBIAN vereist
libnetfilter-queue1
het mde-netfilter-pakket ,libglib2.0-0
- Voor RPM vereist
libmnl
het pakket mde-netfilter ,libnfnetlink
,libnetfilter_queue
,glib2
- Voor Mariner vereist
libnfnetlink
het mde-netfilter-pakket ,libnetfilter_queue
Als de installatie van de Microsoft Defender voor Eindpunt mislukt vanwege ontbrekende afhankelijkheden, kunt u de vereiste afhankelijkheden handmatig downloaden.
Problemen met logboekinstallatie
Zie Problemen met logboekinstallatie voor meer informatie over het vinden van het automatisch gegenereerde logboek dat door het installatieprogramma wordt gemaakt wanneer er een fout optreedt.
Migreren van Insiders-Fast naar productiekanaal
Verwijder de
Insiders-Fast channel
versie van Defender voor Eindpunt in Linux.sudo yum remove mdatp
De opslagplaats Defender voor Eindpunt in Linux uitschakelen Insiders-Fast
sudo yum repolist
Opmerking
De uitvoer moet worden weergegeven
packages-microsoft-com-fast-prod
.sudo yum-config-manager --disable packages-microsoft-com-fast-prod
Implementeer Microsoft Defender voor Eindpunt opnieuw in Linux met behulp van het productiekanaal.
Verwijderen
Zie Verwijderen voor meer informatie over het verwijderen van Defender voor Eindpunt op Linux van clientapparaten.
Zie ook
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.